OAuth İstemci Gizli Bilgilerini Güvenli Paylaş

Sorun

OAuth istemci gizli bilgileri ve servis kimlik bilgileri, üçüncü taraf API'lerine, ödeme işlemcilerine ve harici entegrasyonlara erişimi denetler. Slack dizilerinde veya e-posta zincirlerinde paylaşılan bu gizli bilgiler, çoğunlukla birden fazla ekip genelinde aranabilir günlüklerde kalır. Sızdırılan bir istemci gizli bilgisi, saldırganın uygulamanı taklit etmesine ve büyük ölçekte kullanıcı verilerine erişmesine olanak tanıyabilir.

Vaulted nasıl yardımcı olur

Vaulted, istemci gizli bilgilerini tarayıcıda AES-256-GCM ile şifreler ve kendiliğinden yok olan bir bağlantı oluşturur. Sıfır-bilgi mimarisi, sunucunun kimlik bilgilerine düz metin olarak hiçbir zaman erişemeyeceğini sağlar. Bağlantı görüntülendikten sonra sona erer; istemci gizli bilgilerinin mesaj arşivlerinde kalmasını engeller.

Nasıl yapılır

1. OAuth istemci gizli bilgisini veya servis kimlik bilgilerini Vaulted'a yapıştır
2. İhtiyaç duyan geliştirici sayısına uygun görüntüleme limiti belirle
3. Şifreli bağlantıyı entegrasyonu yapılandıran ekiple paylaş
4. Ekip kimlik bilgilerini uygulama yapılandırmalarına kopyalar ve bağlantı sona erer

İstemci gizli bilgilerini komut satırından paylaş

Tarayıcı açmadan OAuth istemci gizli bilgilerini paylaşmak için Vaulted CLI'ı kullan: npx vaulted-cli "client_id:client_secret" --views 1 --expires 1h. Web uygulamasıyla aynı AES-256-GCM şifreleme. npm ile yükle: npm install -g vaulted-cli.

İstemci gizli bilgilerini GitHub Actions'da paylaş

CI/CD'de servis kimlik bilgilerini paylaşmak için Vaulted GitHub Action'ı kullan: uses: vaulted-fyi/share-secret@v1 ve istemci gizli bilgisini girdi olarak ayarla. Uçtan uca şifreli, kendiliğinden yok olan bağlantılar — iş akışı günlüklerinde düz metin yok. GitHub Marketplace'te mevcut.