Recentemente ho distribuito un'applicazione Flask su Heroku. Fornisce un'API su un'API esistente e richiede una chiave API riservata per il servizio originale dall'utente. L'app è in realtà solo alcune forme, i cui valori vengono passati con ajax a un URL specifico sul server. Nulla di bello. Prendo atto di non archiviare informazioni riservate nell'app e non ne voglio traccia in nessuna parte all'interno dell'app.Formato di registrazione del router Heroku
Guardando i registri da heroku logs --source heroku
, il processo del router heroku memorizza tutte le richieste HTTP per l'app, comprese quelle che includono le informazioni riservate.
C'è un modo per specificare il formato di registro per il processo heroku
in modo da non memorizzare l'URL servito?
Le informazioni riservate sono nell'URL stesso o semplicemente nei dati POST inviati? – aezell
Le informazioni confidenziali sono nell'URL che colpisce l'ajax. – sburns
In tal caso, è possibile utilizzare una sorta di chiave per codificare i dati prima di aggiungerli all'URL e decodificarli quando raggiungono il server? In questo modo, le informazioni non sono in chiaro nei log. Qualcosa come una firma con un nonce e una chiave segreta condivisa dovrebbe funzionare. Non risponde alla domanda, ma potrebbe essere una soluzione alla tua preoccupazione. – aezell