轮换定律_凭证轮换

2023-10-29 00:20
文章标签 凭证 定律 轮换

本文主要是介绍轮换定律_凭证轮换,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

轮换定律

At PayPal, we take security seriously. The API client ID and client secret in the API world are akin to username and password in the web world. It is a well-known security best practice to regularly change the passwords (password rotation). Similarly, in the API world, it is a security best practice to regularly rotate the API client-secret that your application uses from other API providers such as PayPal. Regularly scheduled changes to the API client-secret keep attackers at bay and ensure that your app is less vulnerable to being compromised. For the sake of simplicity, I will refer to the change of API client-secret as API credential rotation in the rest of this article.

在贝宝,我们非常重视安全性。 API世界中的API客户ID和客户机密类似于网络世界中的用户名和密码。 定期更改密码(密码轮换)是一种众所周知的安全性最佳实践。 同样,在API世界中,最好的做法是定期轮换您的应用程序从其他API提供程序(如PayPal)使用的API客户机密。 对API客户端机密的定期更改会阻止攻击者,并确保您的应用程序不易受到破坏。 为了简单起见,在本文的其余部分中,我将把API客户机密的更改称为API凭据轮换。

To simplify the credential rotation process, we have enabled this capability as a self-service feature on the developer portal. We hope that this feature will provide greater flexibility to our developers in rotating credentials per their own schedule.

为了简化证书轮换流程,我们在开发人员门户上启用了此功能作为自助功能。 我们希望此功能将为我们的开发人员按照自己的时间表轮换凭据提供更大的灵活性。

贝宝(PayPal)的API客户秘密的生命周期 (Lifecycle of an API client-secret at PayPal)

A client-secret can have the following three statuses:

客户秘密可以具有以下三种状态:

  • Enabled: The client-secret can be used to authenticate your application for API integration

    启用:客户端秘密可用于验证您的应用程序以进行API集成

  • Disabled: The client-secret cannot be used to authenticate your application for API integration. The client-secret can, however, be moved to “Enabled” status and made functional again.

    禁用:客户端秘密不能用于验证应用程序的API集成。 但是,可以将客户端机密移到“已启用”状态并重新使能。

  • Deleted: The client-secret is no longer available for use. A client-secret once deleted cannot be Enabled or recovered.

    已删除:客户端秘密不再可用。 一旦删除,客户端机密将无法启用或恢复。

There can only be a maximum of two client-secrets that can be created for each app. These client-secrets can be in either of these two states: Enabled or Disabled.

每个应用程序最多只能创建两个客户端秘密。 这些客户端秘密可以处于以下两种状态之一:启用或禁用。

Image for post
PayPal REST Application Credential Lifecycle
PayPal REST应用程序凭证生命周期

旋转客户机密的过程 (Process of rotating a client-secret)

Rotating your client-secret is an easy process and can be done in a self-service fashion on the Developer Portal. The steps are detailed below and are applicable to both your Live and Sandbox client-secret rotation.

旋转客户机密是一个简单的过程,可以在Developer Portal上以自助方式完成。 下面详细介绍了这些步骤,这些步骤适用于Live和Sandbox客户机密轮换。

  1. Login to Developer Portal and access your REST App

    登录到开发人员门户并访问您的REST应用
Image for post
List of Rest Apps in PayPal Developer Portal
PayPal开发人员门户中的Rest应用列表

2. Click on the App to view your API Client ID and Client Secret

2.单击应用程序以查看您的API客户端ID和客户端密钥

Image for post
REST App Details — Client ID and Client Secret
REST应用程序详细信息-客户端ID和客户端密钥

3. Generate an additional client-secret credential as backup to your existing “Enabled” credential.

3.生成一个额外的客户端机密凭据,作为对现有“已启用”凭据的备份。

Image for post
Generate an additional REST App credential
生成其他REST App凭据

4. Update your web or mobile application to start using the newly generated API credential

4.更新您的Web或移动应用程序以开始使用新生成的API凭据

5. Test your application and ensure that all PayPal API functionality is working fine with the newly generated credentials

5.测试您的应用程序,并确保所有PayPal API功能都可以在新生成的凭据下正常运行

6. Disable the old credential now to ensure that you have only one active credential at a given time.

6.现在禁用旧证书,以确保您在给定时间只有一个活动证书。

Image for post
Disable the old REST App Credential
禁用旧的REST App凭据
Image for post
Disabled old REST App Credential
禁用的旧REST应用程序凭据

7. Re-validate that your application is continuing to work even after the old REST App Credentials have been disabled, to rule out any possibility of your application using older credentials.

7.即使禁用了旧的REST App凭据,也要重新验证您的应用程序是否仍可以继续工作,以排除使用较早的凭据的应用程序的任何可能性。

8. If there are any issues with your application functionality, feel free to re-enable the “Disabled” client-secret and troubleshoot the issue.

8.如果您的应用程序功能有任何问题,请随时重新启用“已禁用”客户端机密并解决问题。

9. If validation is successful, then delete the old credential. This will ensure that the older credentials are not used by someone on your team by mistake. Once deleted the credentials cannot be recovered due to security reasons. Hence, it is critical that you ensure that your application is not dependent on these old credentials before you delete them.

9.如果验证成功,则删除旧凭据。 这将确保您的团队中的某人不会误使用较早的凭据。 一旦删除凭据,由于安全原因无法恢复。 因此,至关重要的是,在删除旧凭据之前,请确保您的应用程序不依赖于这些旧凭据。

Image for post
Delete old REST App Credentials
删除旧的REST App凭据
Image for post
Deleted credentials cannot be recovered
删除的凭据无法恢复
Image for post
Old REST App credentials are now deleted and cannot be recovered
旧的REST App凭据现在已删除,无法恢复

凭证轮换的最佳做法 (Best practices for credential rotation)

  • Merchants and System Integrators should define, describe, document and agree on a standard process and steps for client-secret rotation. Create a standard operating procedure (SOP) on credential management and the process to follow in case of a suspected or known breach of credentials. Having a well-defined process will help prevent a panic reaction, and will allow you to gracefully handle the breach without negatively impacting your customers and business

    商家和系统集成商应定义,描述,记录并商定客户机密轮换的标准流程和步骤。 创建有关凭证管理的标准操作程序(SOP),以及在怀疑或已知的凭证违反情况下应遵循的流程。 具有明确定义的流程将有助于防止出现恐慌React,并使您能够妥善处理违规行为,而不会对客户和业务造成负面影响
  • Unless it’s an emergency, and you are aware of a breach or bad actor, it is best to identify an appropriate day and time when your mobile app or website experiences little to no traffic, to rotate your client-secret.

    除非是紧急情况,并且您知道有违规行为或不良行为,否则最好确定适当的日期和时间,使您的移动应用程序或网站很少或根本没有流量,以轮换您的客户秘密。
  • Thoroughly validate that your application is working fine with the new credentials before deleting an existing client-secret.

    在删除现有的客户端机密之前,请彻底验证您的应用程序是否可以使用新凭据正常运行。
  • Rotate client-secrets when your credential custodians (the individual or developer who manages the credentials for your organization or business) change.

    当您的凭证保管人(为您的组织或企业管理凭证的个人或开发人员)更改时,轮换客户秘密。
  • You can choose to disable a credential immediately if you suspect they have been compromised. Note, however, that your application will stop working until you create a new credential pair, change it to “Enabled” status and make changes in your application to start using the new credentials.

    如果您怀疑证书已被盗用,可以选择立即禁用它。 但是请注意,您的应用程序将停止工作,直到您创建新的证书对,将其更改为“已启用”状态并在应用程序中进行更改以开始使用新的证书。
  • It is also a good idea to put your API client ID and client-secret credentials in a configuration file instead of hard-coding in your code base. This would allow you to quickly update and deploy changes to the configuration file without having to make any code changes, and reducing the overall time to activate new credentials on your mobile app or website.

    将API客户端ID和客户端机密凭据放入配置文件中,而不是在代码库中进行硬编码,也是一个好主意。 这样一来,您就可以快速更新配置文件并将其部署到配置文件中,而无需进行任何代码更改,并且可以减少在移动应用程序或网站上激活新凭据的总时间。
  • Delete “Disabled” credentials regularly after validating your application with the new client-secret. This practice will ensure that compromised or old credentials are not enabled by mistake. Additionally, it makes the management of credentials simpler if you don’t have to scroll down a list :)

    使用新的客户端密钥验证您的应用程序后,请定期删除“已禁用”凭据。 这种做法将确保不会错误地启用损坏的或旧的凭据。 此外,如果您不必向下滚动列表,它可以简化凭据的管理:)

In conclusion, regularly updating the client-secret/credentials associated with your applications is a security best practice. It is suggested that developers utilize the self-service client-secret rotation feature on the developer portal on a regular schedule for maximum application security. To ensure consistency in the process, it is suggested that developers define, describe, document, and agree on a standard process around client-secret rotation with the rest of their team. A well-defined process will ensure that rotating an application’s client-secret is never a pain and that there are no missed steps during application validation with the newly generated client-secret.

总之,定期更新与您的应用程序关联的客户端秘密/凭据是安全的最佳做法。 建议开发人员定期使用开发人员门户上的自助服务客户端秘密轮换功能,以最大程度地提高应用程序安全性。 为了确保流程的一致性,建议开发人员与其他团队一起定义,描述,记录和协商有关客户秘密轮换的标准流程。 定义明确的过程将确保旋转应用程序的客户机密绝不会麻烦,并且在使用新生成的客户机密进行应用程序验证期间不会遗漏任何步骤。

翻译自: https://medium.com/paypal-engineering/credential-rotation-d4b4cb834988

轮换定律


http://www.taodudu.cc/news/show-8082477.html

相关文章:

  • c语言最优步长坐标轮换法,无约束优化方法-直接方法(坐标轮换法)
  • 置换怎么表示成轮换_置换的轮换分解----判断n个数是否为全排列
  • 轮换对称式
  • Python代码实现:坐标轮换法求解多维最优化问题
  • 坐标轮换法c语言编程,坐标轮换法c程序设计
  • 轮换
  • 坐标轮换的matlab程序,坐标轮换法matlab程序
  • rancher 轮换证书
  • 置换和轮换(续:对其幂的讨论)
  • 轮换代理的四种常见轮换规则
  • 查看网络连接数netstat -an
  • 【Spock】处理 Non-ASCII characters in an identifier
  • 【unity报错】NullReferenceException: Object reference not set to an instance of an object
  • 特殊的c语言数据类型,C语言第12讲--特殊数据类型之指针(修改).ppt
  • c语言编写三角形边界值测试,第4章1黑盒测试之边界值测试课件.ppt
  • 计算机二叉树讲解ppt,数据结构二叉树ppt.ppt
  • c语言指针变量教程ppt,c语言指针教程.ppt
  • Computer Network --- Network Layer
  • 有时间吗 看本书吧
  • 2021.7.26-8.2 人工智能行业每周技术动态
  • 有时间吗?看本书吧
  • Qt实现一个漂亮的等待加载界面
  • 破解有道JS参数,教你用python自制一个翻译软件!
  • 1027. 打印沙漏(20) (模拟 ZJU_PAT)
  • 2020,9,25自制沙漏程序。
  • python抓取图片数字_[Python图像处理] 三十.图像量化及采样处理万字详细总结(推荐)...
  • (待实验)常见的8种图像增强算法及其opencv实现
  • 基于图像的表情识别
  • ai修复图片 python_如何在 TensorFlow 中用深度学习修复图像?-人工智能
  • 考研数学 每日一题 第六题
  • 这篇关于轮换定律_凭证轮换的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



    http://www.chinasem.cn/article/296970

    相关文章

    阿姆达尔定律

    阿姆达尔定律(Amdahl’s Law)是一个在计算机科学和软件架构设计中经常提到的概念,它用于描述并行计算中的加速瓶颈。简单来说,这个定律告诉我们:在一个系统中,某部分任务如果不能被并行化,那么无论其他部分加速得多快,整体系统的加速效果也会受到限制。 阿姆达尔定律的基本概念 阿姆达尔定律的核心思想是: 任务的可并行部分:假设我们有一个任务,其中一部分可以通过增加处理器数量或并行化技术来加速

    火车票、高铁票如何开具电子发票?12306怎么查询报销凭证是否领取?

    火车票、高铁票如何开具电子发票? 众所周知,目前很多消费(衣食住行)报销都是可以开具电子发票的,但火车票目前无法开具电子发票。 火车票目前只有纸质报销凭证,报销凭证与之前的车票类似,但是上面写有“仅供报销使用”,并且报销凭证只能打印一次,一旦丢失或损坏无法重新打印。 如何查询报销凭证是否取过? 1、通过12306购票平台查询 以12306APP为例,如果已经在该平台购买了车票并领取了

    阿姆达尔定律 是什么 Amdahl 并行效率计算经验法则

    阿姆达尔定律(Amdahl) 是计算机界的一个经验法则。是以计算机科学家吉恩·阿姆达尔来命名的。 它表示串行执行的计算机程序在并行执行后效率的 提升。 它给 出了使用并行处理理论上能带来的效率提高。 考虑运行在单核处理器上的一个程序。在执行时间上来说,“f”是并行计算部分执行时间所占比 例,所以(1-f)是串行处理部分所占比例。 如果有“m”个处理器并行运行,那理论上的优化空 间计算如下

    仿FLASH的图片轮换播放器

    效果思路             两边的按钮——淡入淡出             大图下拉——层级、高度变化             下方的li——多物体淡入淡出             下方的Ul——位置计算         左右按钮           淡入淡出             鼠标移到按钮上,按钮会消失                 层级问题

    九度考研真题 浙大 2009-1浙大1031:xxx定律

    //1031:xxx定律 #include<iostream> using namespace std; int main(){ int n; while(cin>>n&&n!=0){ int num=0; while(n!=1){ if(n%2==0){ n/=2; num++; } else{ n=3*n+1; n/

    Arco Voucher - 不知道有什么用的凭证单据录入表单插件

    关于 Arco Voucher          Arco Voucher 插件是一款不知道有什么用的凭证单据录入表单插件,可能只是为了看着像传统的凭证单据。   动态表头     附件上传/预览     添加凭证明细   https://apps.odoo.com/apps/modules/browse?author=zerone40 如有插件定制化需

    【Python机器学习】NLP词中的数学——齐普夫定律

    齐普夫定律指出:在给定的自然语言语料库中,任何一个词的频率与它在频率表中的排名成反比。 具体的说,这里的反比例关系指的是这样一种情况:排序列表中某一项的出现频率与其在排序列表中的排名成反比。例如,排序列表中的第一项出现的频率是第二项的2倍,是第三项的3倍。对于任何语料库或文档,我们可以快速做的一件事就是:绘制词的使用频率与它们的频率排名之间的关系。 齐普夫定律适用于很多东西的计数。比如某国城市

    不管你在哪里 请记住以下黄金定律

    不管你在哪里上班 ,请记住以下黄金定律(说的很好,其实不只是上班,做其他事情也是一样)         职场法则第一则:            工作不养闲人,团队不养懒人。         职场法则第二则:            入一行,先别惦记着能赚钱, 先学着让自己值钱。         职场法则第三则:            没有哪个行业的钱是好赚的。         职场法则第

    概率论之大数定律学习笔记

    统计规律性 在随机事件的大量重复出现中,往往呈现几乎必然的规律,这类就是大数定律。 男女比例1:1抛硬币正反1:1 切比雪夫不等式 弱大数定律 弱大数定律的意义 伯努利大数定理 伯努利大数定理的意义 伯努利大数定律的结论虽然简单,但其意义却是相当深刻的.它告诉我们当试验次数趋于 无穷时,事件A发生的频率依概率收敛于A发生的概率,这样,频率接近于概率这一直观的 经

    数学建模学习(118):牛顿冷却定律的原理解析、案例分析与Python求解

    介绍来源:2020全国大学生数学建模竞赛论文展示(A070) ,这里我们详细完整的对该优秀论文的方法进行学习和实践。 文章目录 1. 牛顿冷却定律的定义2. 牛顿冷却定律公式3. 牛顿冷却定律的推导4. 牛顿冷却定律的应用方法5. 牛顿冷却定律的验证6. 牛顿冷却定律的图形7. 案例一7.1 题目7.2 推导求解7.3 Python 求解 8. 案例二8.1 题目8.2 推导求解8.3 P