Regenera las API keys y tokens
En caso de que creas que tus API keys han sido expuestas, debes regenerar tus API keys siguiendo estos pasos:- Navega a la página “Apps” de la Developer Console.
- Haz clic en el icono “Keys and tokens” (🗝) junto a la App correspondiente.
- Haz clic en el botón “Regenerate” junto al conjunto de claves y tokens que deseas regenerar.
- Si deseas regenerar tus Access Tokens, debes invalidar tus tokens usando el endpoint POST oauth/invalidate_token, y luego regenerar tus tokens usando el flujo OAuth de 3 patas.
- Si deseas regenerar tu Bearer Token, debes invalidar tu token usando el endpoint POST oauth2/invalidate_token, y luego regenerar tu token usando el endpoint POST oauth2/token.
Tener un archivo central para tus secretos
Tener un archivo como .ENV o cualquier otro tipo de archivo .yaml para contener tus secretos es una opción que puede ser útil, pero asegúrate de tener un archivo .gitignore robusto que pueda evitar que los confirmes accidentalmente en un repositorio git.Variables de entorno
Escribir código que utilice variables de entorno puede ser útil. Un ejemplo de esto es el siguiente, escrito en Python:Código fuente y control de versiones
Los errores de seguridad más comunes que cometen los desarrolladores son tener API keys y tokens confirmados en el código fuente en sistemas de control de versiones accesibles como GitHub y BitBucket. Muchos de estos repositorios de código son de acceso público. Este error se comete tan a menudo en repositorios de código públicos que existen bots lucrativos que rastrean en busca de API keys.- Usa variables de entorno del servidor. Al almacenar las API keys en variables de entorno, las mantienes fuera de tu código y del control de versiones. Esto también te permite usar diferentes claves para diferentes entornos con facilidad.
- Usa un archivo de configuración excluido del control de fuente. Añade el nombre del archivo a tu archivo .gitignore para excluir el archivo del seguimiento del control de versiones.
- Si eliminas las API keys de tu código después de haber usado el control de versiones, las API keys probablemente sigan siendo accesibles al acceder a versiones anteriores de tu base de código. Regenera tus API keys, como se describe en la siguiente sección.
Bases de datos
Si necesitas almacenar tus access tokens en una base de datos, ten en cuenta lo siguiente:- Restringe el acceso a la base de datos de forma que los access tokens solo puedan ser leídos por el propietario del token.
- Restringe los privilegios de edición/escritura en la tabla de la base de datos para los access tokens; esto debe automatizarse con el sistema de gestión de claves.
- Cifra los access tokens antes de almacenarlos en cualquier data store.