php - 通过json传输机密数据安全吗?laravel 7 - 数字证书签名
问题描述
我需要签署文件,但为此我需要通过 json 传递密码和证书路径
使用它真的安全吗?我如何在 php 配置文件中实现这些数组?这样没有人(外部公众)可以访问数据,我知道 php 可以做到这一点。
我正在配置一个在其文档中包含以下内容的 api:
配置 API API 配置是通过一个文件甚至 JSON 格式的数组来完成的。
此 JSON 数组包含 API 了解重要文件所在位置所需的数据,例如数字证书和其他相关信息。
{"atualizacao":"2016-02-02 08:01:21","tpAmb":2,"pathXmlUrlFileNFe":"nfe_ws3_mod55.xml","pathXmlUrlFileCTe":"cte_ws1.xml","pathXmlUrlFileMDFe":"mdfe_ws1.xml","pathXmlUrlFileCLe":"cle_ws1.xml","pathXmlUrlFileNFSe":"","pathNFeFiles":"/MyApp/nfe","pathCTeFiles":"/MyApp/cte","pathMDFeFiles":"/MyApp/mdfe","pathCLeFiles":"/MyApp/cle","pathNFSeFiles":"/MyApp/nfse","pathCertsFiles":"/MyApp/certs/","siteUrl":"http://myapp.local","schemesNFe":"PL_008h2","schemesCTe":"PL_CTE_104","schemesMDFe":"MDFe_100","schemesCLe":"CLe_100","schemesNFSe":"","razaosocial":"Fulano de tal Ltda","siglaUF":"AM","cnpj":"547678524000133","tokenIBPT":"AAAAAAA","tokenNFCe":"GPB0JBWLUR6HWFTVEAS6RJ69GPCROFPBBB8G","tokenNFCeId":"000002","certPfxName":"myapp_2016.pfx","certPassword":"JIO&$@2990_zx","certPhrase":"tajomstvo","aDocFormat":{"format":"P","paper":"A4","southpaw":"1","pathLogoFile":"/MyApp/publico/images/logo.jpg","logoPosition":"L","font":"Times","printer":"hpteste"},"aMailConf":{"mailAuth":"1","mailFrom":"roberto@myapp.local","mailSmtp":"smtp.myapp.local","mailUser":"roberto@myapp.local","mailPass":"heslo$","mailProtocol":"ssl","mailPort":"587","mailFromMail":null,"mailFromName":null,"mailReplayToMail":null,"mailReplayToName":null,"mailImapHost":null,"mailImapPort":null,"mailImapSecurity":null,"mailImapNocerts":null,"mailImapBox":null},"aProxyConf":{"proxyIp":"","proxyPort":"","proxyUser":"","proxyPass":""}}
文档没有显示如何实现它,它只是显示了 json 数组的示例,也可以在 php 文件中完成,我想我应该将该数组放在 config.json 之类的东西中并在控制器中调用它,我不知道这个电话会怎样,我会把它放在哪里,我可以把它放在任何地方,但我最担心的是需要将个人手指作为密码放在这个矩阵中,json是一个可以访问的文件任何人通过浏览器,我不知道按照他们的建议实施是否合适和安全。这真的是最佳实践吗?
解决方案
如果您通过 https 发布它应该没问题,它与不记名令牌没有什么不同。如果您在查询字符串中包含任何将记录在访问日志等内容中的内容。
编辑:对于任何关于安全的问题,它确实取决于你想去兔子洞多远。POST/PUT 数据比使用 GET 更安全,因为它是如何被服务器处理的。但是从问题变成了您的服务器,您的 ssl 设置等的安全性。因此,您最终会根据数据保持安全的重要性来权衡它需要多安全。
推荐阅读
- c# - 单元测试 DateTime 逻辑
- python - 如何处理来自 Gtk.Switch 的“notify::active”信号?(MVC架构)
- .net - VC++ Process 类改变 StreamReader 行为
- simulation - Veins:在输出中获取 Tripinfo 和排放量
- c - 环境变量和本地化
- amazon-web-services - 亚马逊 AWS S3 站点更新
- node.js - 找不到模块“gulp-sass”
- javascript - 如何放大距离标记15公里范围内的区域
- google-analytics - 在 Google Analytics 中,我如何在时间轴上绘制访问过一个页面但没有访问过另一个页面的用户?
- node.js - NPM 本地模块 - 使用来自 'host package.json' 的 npm install 时未安装依赖项