我试图找出它,这是在配置文件中存储数据库连接和其他私人信息的一些凭据的最安全、最灵活的解决方案。这是在一个python模块中,用于登录到不同的处理程序(mongodb、mysqldb、文件等)系统中用户活动的历史。
这个日志记录模块附带了一个处理程序,在那里我需要为每个处理程序加载配置文件。即数据库、用户、通行证、表格等
经过对web和stackoverflow的一些研究,我只看到了Json和CPickle之间的安全风险比较,但关于eval方法和类型限制,而不是配置文件存储问题。
我想知道在json中存储凭据是否是个好主意,因为在服务器中使用.json配置文件(日志处理程序将从中读取数据)会带来安全风险。我知道这个.json文件可以通过http请求来检索。如果参数存储在.py代码中的python对象中,我想会有更多的安全性,因为服务器会首先解释该文件的任何请求,但我正在失去模块化的灵活性和对该数据的轻松修改。
在服务器中存储此类配置文件并由某些Python类访问时,您对此类安全问题有何建议?提前感谢,勒克斯。
我会考虑加密凭据文件。使用它的进程需要一个密钥/密码来解密它,您可以将其存储在其他地方,甚至可以在服务器启动时交互输入。这样你就不会有一个单一的故障点(当然,一个坚定的入侵者最终可以把这些碎片拼凑在一起)。
(当然,您还应该尝试保护服务器的安全,这样您的凭据就不能仅通过http请求获取)