Niedawno wdrożyłem aplikację Flask na Heroku. Zapewnia API na istniejącym API i wymaga poufnego klucza API dla pierwotnej usługi od użytkownika. Aplikacja to tak naprawdę tylko kilka formularzy, których wartości są przekazywane za pomocą ajax do konkretnego adresu URL na serwerze. Nic fajnego. Podejmuję kroki, aby nie przechowywać poufnych informacji w aplikacji i nie chcę żadnych śladów w aplikacji.Format rejestrowania routera Heroku
Patrząc na logi z heroku logs --source heroku
, proces rutera heroku przechowuje wszystkie żądania HTTP dla aplikacji, w tym wnioski zawierające informacje poufne.
Czy istnieje sposób określenia formatu dziennika dla procesu heroku
, aby nie przechowywać adresu URL?
Czy informacje poufne znajdują się w samym adresie URL, czy po prostu w danych POST? – aezell
Informacje poufne znajdują się w adresie URL trafienia ajax. – sburns
W takim przypadku, czy mógłbyś użyć jakiegoś klucza do zakodowania danych przed dodaniem ich do adresu URL i dekodowania go po trafieniu na serwer? W ten sposób informacje nie znajdują się w jawnym tekście w dziennikach. Powinno zadziałać coś jak podpis z kluczem jednorazowym i wspólnym kluczem tajnym. Nie odpowiada na pytanie, ale może być rozwiązaniem problemu. – aezell