安全的HTTP基本身份validation
我正在连接到几个API,并使用基本身份validation,如下所示:
this.jenkins = jenkinsapi.init('https://USERNAME:PASSWORD@this-is-a-jenkins.server.local:8080', {strictSSL: false});
我担心只是将用户的密码放在variables或纯文本中。 它是在一个“私人”的方法,但如果有人能够查看服务器上的来源,他们将能够查看用户名和密码。
如何使这个更安全,同时仍然使用http基本身份validation?
看看环境variables。 这些在Node.js中可用 。
process.env.ENV_VARIABLE
其中ENV_VARIABLE是在运行应用程序的系统中定义的。 对于isntance,在Heroku上运行的Node.js应用程序中,公开地托pipe在Github上,我使用的是process.env.MONGOLAB_URI而不是包含数据库名称,用户名和密码的SQLtypes的string。 我有这个自动configuration,因为Heroku,但我也可以在我的操作系统本地设置variables(在这种情况下,Windows),以便代码将在本地运行。
同时查看关于Jenkins使用环境variables的答案 。