如何安全地存储应用程序ID /密钥？

Question

在Heroku上托管的Ruby on Rails中开发应用程序。

我们的应用程序有几个不同的应用程序ID /密钥分配的许多不同的服务（Facebook，Mixpanel等）。我们现在正在添加一个支付系统，所以我们计划使用Stripe。我们现在也有一个Stripe应用程序ID。

什么是安全存储这些应用程序ID的最佳方式？目前它们只是作为rails环境变量存储。所有员工因此可以访问我们所有的应用程序ID。

假设某个工程师变成“流氓”......他们可能会毒害自己的DNS缓存，并将我们的网站.com与他们控制的某个随机IP地址相匹配。因此，请求可能会使用我们的应用程序ID，但运行我们还没有确定的事务。

以安全/安全的方式存储所有这些不同应用ID的好方法是什么？如果我们的联合创始人之一拥有这些应用ID，我们就可以了，但最好应该有一种安全的方式来访问这些应用ID，而不必透露ID的实际ID。

Answer 1

这是不解决问题与技术，但与合同。开发人员将永远比管理团队更了解更多关于项目的信息，并且能够更亲密地访问项目，除非您有责任担心（即遵守PCI或政府安全要求），否则您不应该这样做。

Answer 2

我不使用Heroku的，但也做了类似的东西，他们在这里描述：https://devcenter.heroku.com/articles/config-vars

TL;博士：把你的ID添加到环境变量