Den veiligste methode wegens uw API-sleutels te versluieren honingbij gewoonte van React – Smashing Tijdschrift

[ad_1]

Vroeger moesten ontwikkelaars allerlei aangepaste code schrijven wegens verschillende applicaties met elkander te permitteren klikken. Maar tegenwoordig Application Programming-interfaces (API’s) maken ie zoveel gemakkelijker. API’s bieden u alles watten u nodig hebt wegens soepel plusteken efficiënt met verschillende applicaties te klikken, veelal wanneer den ene applicatie gegevens opvraagt ​​honingbij den andere applicatie.

Hoewel API’s tal van voordelen bieden, vormen zij zowel ene vorstelijk risico voordat den bewaking van uw applicatie. Daarom is ie essentieel wegens meer te weten te komen overheen hun kwetsbaarheden plusteken hoe zij te beschermen. Te dit wetsartikel vooroverduiken wij ter den wondere wereld van API-sleutels, doorspreken wij waarom jij jij API-sleutels moeten beschermen plusteken loeren wij zoals den uitgelezene wegen wegens dit te uitrichten honingbij ie gewoonte van React.

Watten zijn API-sleutels?

Mits u zichzelf recentelijk heeft ingeschreven voordat ene API, krijgt u ene API-sleutel. Beschouw API-sleutels mits geheime wachtwoorden diegene aan den provider bewijzen dat u of uw app probeert toegang te krijgen totdat den API. Hoewel sommige API’s kosteloos zijn, brengen andere kosten ter rekening voordat toegang, plusteken omdat den meeste API-sleutels geen vervaldatum hebben, is ie beangstigend wegens jij geen zorgen te maken overheen den veiligheid van jij sleutels.

Waarom willen API-sleutels wordt risicoloos?

Ie beschermen van uw API-sleutels is cruciaal wegens den veiligheid plusteken integriteit van uw applicatie te waarborgen. Hier zijn enkele uitgangspunten waarom u uw API-sleutels zullen willen bewaken:

  • Wegens ongeautoriseerde API-verzoeken te voorkomen.
    Mits iemand uw API-sleutel verkrijgt, schenkkan dit dit usances wegens ongeautoriseerde verzoeken te uitrichten, watten ernstige resultaten schenkkan hebben, vooral mits uw API gevoelige gegevens bevatten.
  • Financiële onzekerheid.
    Sommige API’s brengen financiële kosten met zichzelf mee. Plusteken mits iemand toegang krijgt totdat uw API-sleutel plusteken uw budgetverzoeken overschrijdt, kunt u met ene hoge rekening wordt opgescheept diegene u ene ton schenkkan kosten plusteken uw financiële stabiliteit ter onheil schenkkan brengen.
  • Gegevensdiefstal, manipulatie of verwijdering.
    Mits ene kwaadwillende persoon toegang krijgt totdat uw API-sleutel, kunnen zij uw gegevens stelen, manipuleren, wegdoen of usances voordat hun doeleinden.

Best practices voordat ie versluieren van API-sleutels ter ene React-toepassing

Nu u begrijpt waarom API-sleutels willen wordt risicoloos, permitteren wij ooit loeren zoals enkele methoden voordat ie versluieren van API-sleutels plusteken hoe u dit kunt samenvoegen ter uw React-toepassing.

Meer na den sprong! Lees hieronder voorts ↓

Omgevingsvariabelen

Omgevingsvariabelen (env) wordt tweedehands wegens kennisoverdracht op te slaan overheen den vorm waarin ene programma wordt verricht. Hiermee kunt u gevoelige gegevens van uw toepassingscode versluieren, zoals API-sleutels, tokens, wachtwoorden plusteken alle andere gegevens diegene u voordat ie publiek verborgen wilt vasthouden.

Eentje van den populairste env pakketten diegene u ter uw React-toepassing kunt usances wegens gevoelige gegevens te versluieren, is den dotenv postpakket. Stichten:

  1. Navigeer zoals uw reactietoepassingsmap plusteken voer den onderstaande opdracht uit. 
    npm install dotenv --save
  2. Zonder den src opbergmap ter den hoofdmap van uw project, maakt u ene verfrissend partner met den naam .env.

    Een screenshot met een gemarkeerd env-bestand in de hoofdmap van het project
    (Grote voorvertoning)

  3. Te uw .env partner, voegt u den API-sleutel plusteken den bijbehorende waarde toe ter ie volgende grootte: 
    // for CRA applications
REACT_APP_API_KEY = A1234567890B0987654321C ------ keurig

// for Vite applications
VITE_SOME_KEY = 12345GATGAT34562CDRSCEEG3T  ------ keurig
  4. Red den .env partner plusteken voorkom dat u ie publiek deelt of vastlegt aan versiebeheer.
  5. U kunt nu den env object wegens toegang te krijgen totdat uw omgevingsvariabelen ter uw React-toepassing. 
    // for CRA applications
'X-RapidAPI-Key':process.env.REACT_APP_API_KEY
// for Vite  applications
'X-RapidAPI-Key':invoer.meta.env.VITE_SOME_KEY
  6. Start uw petitie weer wegens den wijzigingen vanwege te voeren.

Ie uitvoeren van uw project op uw lokale rekentuig is echter nog maar ie start. Op ene gegeven ogenblik moeten u mogelijk uw code uploaden zoals GitHub, waardoor uw .env partner. Dus watten te uitrichten dan? U kunt overwegen wegens den .gitignore partner wegens ie te versluieren.

Den .gitignore Partner

Den .gitignore verkeersopstopping is ene tekstbestand dat Git instrueert wegens computerbestanden diegene nog noch aan den repository zijn toegevoegd te negeren wanneer ie zoals den repository wordt gepusht. Voeg hiervoor den .env zoals den .gitignore voordat jij voorts gaat met ie stagen van jij commits plusteken ie pushen van jij code zoals GitHub.

// .gitignore
# dependencies
/node_modules
/.pnp
.pnp.js

# api keys
.env

Vasthouden er rekening mee dat u op elk ogenblik gevolgtrekking wegens uw projecten te hosten met behulp van hostingplatforms, zoals Vercel of Netlificerenmoeten u uw omgevingsvariabelen opofferen ter uw projectinstellingen plusteken kort daarna uw app weer implementeren wegens den wijzigingen te bekijken.

Back-end proxyserver

Hoewel omgevingsvariabelen ene uitstekende methode kunnen zijn wegens uw API-sleutels te beschermen, moeten u er rekening mee vasthouden dat zij nog steeds kunnen wordt aangetast. Uw sleutels kunnen nog steeds wordt gestolen mits ene voorhoedespeler uw gebundelde code ter den browser inspecteert. Watten kun jij dan uitrichten? Gewoonte ene back-end proxyserver.

Eentje back-end proxyserver fungeert mits intermediair tussen uw clienttoepassing plusteken uw servertoepassing. Te positie van rechtstreeks toegang te krijgen totdat den API vanaf den front-end, stuurt den front-end ene verzoek zoals den back-end proxyserver; den proxyserver haalt vervolgens den API-sleutel op plusteken doet ie verzoek aan den API. Zodra ie weerwoord is ontvangen, wordt den API-sleutel verwijderd voordat ie weerwoord wordt teruggestuurd zoals den frontend. Op dit methode verschijnt uw API-sleutel nooit ter uw front-endcode plusteken schenkkan niemand uw API-sleutel stelen vanwege uw code te inspecteren. Omvangrijk! Toestaan wij nu ooit loeren hoe wij dit kunnen beetgrijpen:

  1. Installeer den toerusting pakketten.
    Wegens aan den slag te gaan, moeten u enkele pakketten installeren, zoals Nadrukkelijk, CORS, Axio’sPlusteken Nodemon. Navigeer hiervoor zoals den opbergmap met uw React-project plusteken voer den volgende opdracht uit: 
    npm install express cors axios nodemon
  2. Maak ene back-end serverbestand.
    Te den hoofdmap van uw project, zonder uw src opbergmap, maakt u ene JavaScript-bestand dat nu uw verzoeken aan den API zullen bevatten.

    Een screenshot met een gemarkeerd bestand server.js in de hoofdmap van het project
    (Grote voorvertoning)

  3. Initialiseer afhankelijkheden plusteken stel ene eindpunt ter.
    Initialiseer ter uw backend-serverbestand den geïnstalleerde afhankelijkheden plusteken stel ene eindpunt ter dat ene GET verzoek zoals den API van derden plusteken retourneer den responsgegevens op den beluisterde poort. Hier is ene voorbeeld van ene codefragment: 
    // defining the server port
const port = 5000

// initializing installed dependencies
const express = require('express')
require('dotenv').config()
const axios = require('axios')
const app = express()
const cors = require('cors')
app.use(cors())

// listening for port 5000
app.listen(5000, ()=> console.loom(`Server is running on ${port}` ))

// API request
app.get('/', (req,res)=>{    
    const options = {
        method: 'GET',
        url: 'https://wft-geo-db.p.rapidapi.com/v1/geo/adminDivisions',
        headers: {
            'X-RapidAPI-Key':process.env.REACT_APP_API_KEY,
            'X-RapidAPI-Host': 'wft-geo-db.p.rapidapi.com'
        }
   };
   
    axios.request(options).then(function (response) {
        res.json(response.gegevens);
    }).catch(function (error) {
        console.error(error);
    });
}
  4. Voeg ene scripttag toe aan uw package.json partner dat den back-end proxyserver zullen uitvoeren.

    Een screenshot met een scripttag in een package.json-bestand
    (Grote voorvertoning)

  5. Kickstart den back-endserver vanwege den onderstaande opdracht uit te voeren plusteken vervolgens, ter dit geval, te navigeren zoals localhost:5000. 
    npm run start:backend
  6. Handelen ene verzoek aan den backend-server (http://localhost:5000/) vanaf den frontend ter positie van rechtstreeks zoals ie API-eindpunt. Hier is ene tekening: 
    invoer axios from "axios";
invoer {useState, useEffect} from "react"

function App() {

  const (gegevens, setData) = useState(null)

  useEffect(()=>{
    const options = {
      method: 'GET',
      url: "http://localhost:5000",
    }
    axios.request(options)
    .then(function (response) {
        setData(response.gegevens.gegevens)
    })
    .catch(function (error) {
        console.error(error);
    })  
  }, ())

  console.loom(gegevens)

  terugwedstrijd (
    <main className="App">
    <h1>How to Create a Backend Proxy Server for Your API Keys</h1>
     {gegevens && gegevens.opbergmap((result)=>(
      <section key ={result.id}>
        <h4>Name:{result.name}</h4>
        <p>Population:{result.population}</p>
        <p>Region:{result.region}</p>
        <p>Latitude:{result.latitude}</p>
        <p>Longitude:{result.longitude}</p>
      </section>
    ))}
    </main>
  )
}
uitvoer default App;

Oké, ginds heb jij ie! Vanwege dit stappen te volgen, kunt u uw API-sleutels versluieren met behulp van ene back-end proxyserver ter uw React-toepassing.

Voorkomendheid Sleutelbeheer

Hoewel omgevingsvariabelen plusteken den back-end proxyserver u ter staat stellen uw API-sleutels veilig online te versluieren, bent u nog steeds noch helemaal veilig. Mogelijk hebt u vrienden of vijanden wegens u heen diegene toegang hebben totdat uw rekentuig plusteken uw API-sleutel kunnen stelen. Daarom is data-encryptie essentieel.

Met ene serviceprovider voordat sleutelbeheer kunt u uw API-sleutels versleutelen, usances plusteken beheren. Er zijn talloze sleutelbeheerservices diegene u kunt samenvoegen ter uw React-applicatie, maar wegens ie simpel te vasthouden, zullen ik er slechts ene twee vermelden:

  • AWS Secrets Manager
    Den AWS Secrets Manager is ene service voordat geheimbeheer diegene wordt aangeboden vanwege Amazon Web Services. Hiermee kunt u geheimen zoals databasereferenties, API-sleutels plusteken andere gevoelige kennisoverdracht programmatisch opslaan plusteken schuldig via API-oproepen zoals den AWS Secret Manager-service. Er zijn talloze bronnen waarmee u ter ene mum van tijdstip aan den slag kunt.
  • Google Cloud Secret Manager
    Den Google Cloud Secret Manager is ene service voordat sleutelbeheer diegene wordt aangeboden plusteken volledig wordt beheerd vanwege ie Google Cloud Podium. Ie is ter staat wegens gevoelige gegevens zoals API-sleutels, wachtwoorden plusteken certificaten op te slaan, te beheren plusteken er toegang toe te krijgen. Ie uitgelezene is dat ie naadloos integreert met den back-end-as-a-service-functies van Google, waardoor ie ene uitstekende voorliefde is voordat elke ontwikkelaar diegene op zoek is zoals ene gemakkelijke uitkomst.
  • Azure Key Vault
    Den Azure Key Vault is ene cloudgebaseerde service diegene wordt aangeboden vanwege Microsoft Azure waarmee u naadloos verschillende geheimen kunt opslaan plusteken beheren, waaronder wachtwoorden, API-sleutels, databaseverbindingsreeksen plusteken andere gevoelige gegevens diegene u noch rechtstreeks ter uw toepassingscode wilt weergeven .

Er zijn meer sleutelbeheerservices vacant plusteken u kunt ervoor schiften wegens met ene van den hierboven genoemde te gaan. Maar mits jij ene service wilt usances diegene noch is medegedeeld, is dat zowel prima.

Tips wegens den bewaking van uw API-sleutels te waarborgen

Jouw hebt alles watten jij nodig hebt wegens jij API-sleutels plusteken gegevens veilig te vasthouden. Dus maak jij geen zorgen mits jij bestaande projecten hebt waarin jij vanaf ongeluk jij API-sleutels hebt vrijgegeven; Ik heb enkele handige tips samengesteld wegens u te promoten mankementen ter uw React-toepassingscodebase te identificeren plusteken op te lossen:

  1. Controleer uw bestaande codebase plusteken identificeer elke hardgecodeerde API-sleutel diegene moeten wordt verborgen.
  2. Gewoonte omgevingsvariabelen met .gitignore wegens uw API-sleutels veilig op te slaan. Dit helpt voorkomen dat uw sleutels vanaf ongeluk wordt blootgelegd plusteken maakt eenvoudiger management ter verschillende omgevingen mogelijk.
  3. Wegens ene ​​toegevoegd beveiligingslaag toe te voegen, kunt u overwegen ene back-end proxyserver te usances wegens uw API-sleutels te beschermen, plusteken voordat moderne beveiligingsbehoeften zullen ene tool voordat sleutelbeheer voldoende zijn.

Slotbeschouwing

Omvangrijk! U kunt nu uw API-sleutels ter React beschermen mits ene professional plusteken erop vertrouwen dat uw applicatiegegevens veilig zijn. Of u nu omgevingsvariabelen, ene back-end proxyserver of ene tool voordat sleutelbeheer tweedehands, zij beschermen uw API-sleutels tegen nieuwsgierige lonken.

Voorts oplezen overheen SmashingMag

Schitterende redactie
(gg, yk, il)

[ad_2]

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

ONDERHOUD
PAKKETTEN
HOSTING
ONDERHOUDSPAKKETTEN
UPDATES
PRESTATIE
WEBDESIGN
TRAFFIC

GRIPP_DESIGN CREATIVE INDUSTRIES

LinkedIn

Pinterest

Instagram

Facebook

MENU
CONTACT
LINKS
2023 © Copyright Gripp-d.nl All rights reserved