如何保持敏感信息的秘密吗

编辑该页面

警告:你浏览的文档欧宝体育电话欧宝娱乐app下载地址Symfony 5.2,不再维护。

这个页面的更新版本Symf欧宝娱乐app下载地址ony 6.2(当前的稳定版本)。

环境变量是最好的方式来存储配置取决于应用程序是运行在哪里——例如,一些API键可能被设置为一个值在开发本地生产,另一个值。

当这些值敏感的,需要保密,您可以安全地存储它们通过使用Symfony的秘密管理系统——有时被称为“金库”。欧宝娱乐app下载地址

请注意

的秘密系统需要钠与PHP 7.2绑定的PHP扩展。如果您正在使用一个PHP版本的早些时候,你可以安装libsodiumPHP扩展或使用paragonie / sodium_compat包中。

1
美元php bin /控制台的秘密:生成密钥

这将产生不对称的一对加密密钥。每一个环境都有自己的一组键。假设你在本地编码dev环境,这将创建:

配置/机密/ dev / dev.encrypt.public.php
用于加密/秘密添加到库。可以安全地。
配置/机密/ dev / dev.decrypt.private.php
用于解密/阅读的秘密金库。的dev解密密钥可以承诺(假设没有高度敏感的秘密存储在dev金库)但是刺激解密密钥应该从来没有是承诺。

您可以生成一对密钥的刺激运行环境:

1
美元APP_RUNTIME_ENV = prod php bin /控制台的秘密:生成密钥

这将生成配置/机密/刺激/ prod.encrypt.public.php配置/机密/刺激/ prod.decrypt.private.php

谨慎

prod.decrypt.private.php文件是高度敏感的。你的团队的开发人员,甚至持续集成服务不需要钥匙。如果解密密钥暴露(例如雇员离开),你应该考虑通过运行:生成一个新的秘密:生成密钥——旋转

秘密:设置命令,你应该加这个秘密dev刺激金库:

1 2 3 4 5 6 7
#输入是隐藏在键入出于安全原因#设置默认发展值(在本地可以覆盖)美元php bin /控制台的秘密:DATABASE_PASSWORD#设置您的生产价值美元APP_RUNTIME_ENV = prod php bin /控制台的秘密:DATABASE_PASSWORD

这将创建一个新文件的秘密配置/机密/ dev和另一个配置/机密/刺激。你也可以设置在其他一些方面的秘密:

1 2 3 4 5 6 7 8
#提供一个阅读的秘密文件美元php bin /控制台的秘密:DATABASE_PASSWORD ~ / / password.json下载#或内容传递给STDIN美元回声- n美元DB_PASS| php bin /控制台的秘密:DATABASE_PASSWORD -#或让Symfon欧宝娱乐app下载地址y为您生成一个随机值美元php bin /控制台的秘密:REMEMBER_ME——随机

环境变量。小心你不意外地定义一个秘密一个具有相同名称的环境变量:环境变量覆盖的秘密

如果你存储DATABASE_PASSWORD秘密,你可以参考:

  • YAML
  • XML
  • PHP
1 2 3 4 5 6
#配置/包/ doctrine.yaml原则:dbal:密码:' % env (DATABASE_PASSWORD) %#……#……

实际值将在运行时解析:容器编译和缓存预热不需要解密密钥

秘密:列表。如果你有解密密钥你也可以揭示的秘密传递的值——揭示选择:

1 2 3 4 5 6 7
美元php bin /控制台的秘密:列表——显示- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -的名字价值当地价值- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - DATABASE_PASSWORD“我的秘密”- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

1
美元php bin /控制台的秘密:删除DATABASE_PASSWORD

dev发展环境的秘密应该包含好的默认值。但有时一个开发者仍然当开发本地需要覆盖一个秘密值。

大部分的秘密命令,包括秘密:设置——有一个——当地选择商店的“秘密”.env。{env}。local文件作为一个标准的环境变量。覆盖的DATABASE_PASSWORD秘密在本地运行:

1
美元php bin /控制台的秘密:DATABASE_PASSWORD——当地的

如果你进入现在,您将看到你.env.dev.local文件:

1
DATABASE_PASSWORD =根

这将覆盖DATABASE_PASSWORD因为环境变量总是优先于秘密的秘密。

清单的秘密现在还将显示本地变量:

1 2 3 4 5 6
美元php bin /控制台的秘密:列表——显示- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -的名字价值当地价值- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - DATABASE_PASSWORD“开发价值”“根”- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

欧宝娱乐app下载地址Symfony还提供了秘密:decrypt-to-local命令解密所有秘密和将它们存储在本地库秘密:encrypt-from-local命令加密所有当地秘密金库。

dev和刺激环境中,这将是缺失的测试环境。你可以创建一个“金库”测试环境和定义的秘密。但一个更简单的方法是通过设置测试值.env.test文件:

1 2
# .env.testDATABASE_PASSWORD =“测试”

  • 上传文件:

    • 第一个选项是复制的生产解密密钥- - - - - -配置/机密/刺激/ prod.decrypt.private.php你的服务器。

    1. 使用一个环境变量

    第二种方法是设置欧宝娱乐app下载地址SYMFONY_DECRYPTION_SECRET环境变量的base64编码的值生产解密密钥。的方式获取价值的关键是:

    1 2 3
    #这个命令只获取价值的关键;您还必须设置一个env var这个值(例如#在你的系统。“出口SYMFO欧宝娱乐app下载地址NY_DECRYPTION_SECRET =…”)美元php - r“回声base64_encode(需要配置/机密/刺激/ prod.decrypt.private.php);“

    以提高性能(即避免解密机密在运行时),可以在部署过程中解密你的秘密“本地”库:

    1
    美元APP_RUNTIME_ENV = prod php bin /控制台的秘密:decrypt-to-local——力量

    这将把所有解密的秘密了.env.prod.local文件。这样做后,解密密钥需要保持在服务器上(年代)。

    秘密:生成密钥命令提供了一个——旋转选项重新生成加密密钥。欧宝娱乐app下载地址Symfony将现有解密机密旧键,生成新的加密密钥和对秘密与新钥匙。为了解密前的秘密,开发人员必须有解密密钥

    • YAML
    • XML
    • PHP
    1 2 3 4 5 6
    #配置/包/ framework.yaml框架:秘密:# vault_directory: ' % kernel.project_dir % / config /机密/ % kernel.environment % '# local_dotenv_file: ' % kernel.project_dir % / .env. % kernel.environment %。local”# decryption_env_var:“base64:默认::SYMFO欧宝娱乐app下载地址NY_DECRYPTION_SECRET”

    这项工作,包括代码示例,许可下Creative Commons冲锋队3.0许可证。
    TOC
      版本