Security Paypal API凭据，安全问题

考虑多个开发人员在一个项目上合作的情况。 在开发服务器上进行测试，准备就绪后在Web服务器上移动的项目

此项目与paypal API对话，因此在开发模式下使用沙盒凭据，在线时使用LIVE API凭据

问题是安全性，因为我希望只有团队负责人才能访问包含实时API数据的文件

到目前为止，我找到的唯一解决方案是将对Web服务器的FTP访问限制为一个人，而此人是唯一可以访问凭据文件的人。但这可能不太实际。因为不会与开发服务器同步

我想这是一种常见的模式，敏感数据必须放在一个安全的地方，并且只能从ProjectLeader和Live web应用程序访问

---

我需要一个主意。。。有什么建议吗？

没有什么要求您将凭据文件放在可通过FTP访问的目录中。只需将其放在工作树之外。嗨，你也可以对该文件进行加密，但请记住，即使该文件是加密的（ioncube、zend等）或其他地方（无法通过ftp访问），开发人员也可以始终包含该文件，只需打印变量的值…@JorgeFerreira换句话说，是模糊安全性。我同意Ianzz的建议；将文件放在webroot之外，只允许FTP访问webroot上的某些受信任成员。但这也不能防止简单地回显值。关于回显：因此，我谈论的是LIVE和DEV ENVs。不必访问凭据文件的用户将无法通过FTP访问LIVE app。因此无法回显实时凭据。只需要记住不要将来自DEV的凭证文件同步到LIVE和viceversa。