如何在 Strapi 中安全地设置数据库密码？

2024-04-22

Strapi 框架（据我了解）要求在启动时提供数据库密码。通常，密码在database.js文件，像这样：

module.exports = ({ env }) => ({
  defaultConnection: 'default',
  connections: {
    default: {
      connector: 'bookshelf',
      settings: {
        client: 'postgres',
        host: '/cloudsql/myDatabaseInstanceName',
        database: 'databaseName',
        username: 'databaseUsername',
        password: 'databasePassword',
      },
    },
  },
});

这当然不是很安全，因为database.js文件通常会提交到存储库。

因此，有些人将密码注入database.js文件，而不是将其存储为环境变量：

module.exports = ({ env }) => ({
  defaultConnection: 'default',
  connections: {
    default: {
      connector: 'bookshelf',
      settings: {
        client: 'postgres',
        host: `/cloudsql/${env('INSTANCE_CONNECTION_NAME')}`,
        database: env('DATABASE_NAME'),
        username: env('DATABASE_USERNAME'),
        password: env('DATABASE_PASSWORD'),
      },
    },
  },
});

然而，这也不是很安全。在许多运行时环境（包括我正在使用的 Google App Engine）中，任何项目用户都可以以明文形式查看环境密码。

理想情况下，我想将数据库密码存储在秘密保险库中（我正在使用 Google Secret Manager），并以某种方式将密码从保险库提供给database.js启动时的文件。但我不明白如何实现？是否有可能访问秘密保险库database.js？或者，我还可以如何将数据库密码安全地注入 Strapi 中？

Thanks!

Strapi V4 的解决方案 - 在尝试了很多解决方案之后，我终于找到了一个。我们必须在index.js>“异步注册”函数中执行此操作。我也在 bootstrap.js 中尝试过，但没有成功。

//index.js
    ....
    ....
    async register({ strapi }) {
    try {
      console.log("Fetching database secrets....");
      const secretData = await getSecret();
      console.log("Database secrets fetched successfully !!!");
      strapi.config.set("database.connection.connection.host", secretData.host);
      strapi.config.set("database.connection.connection.database", secretData.dbname);
      strapi.config.set("database.connection.connection.user", secretData.username);
      strapi.config.set("database.connection.connection.password", secretData.password);
      strapi.config.set("database.connection.connection.port", secretData.port);

    } catch (err) {
      console.log("error is secret fetch call.", err)
    }

  },
 ....
 ....

简单来说，database.js 尝试连接其他默认配置。

//database.js
module.exports = ({ env }) => {
  return {
    connection: {
      client: 'postgres',
      connection: {
        //postgres connection is set in index.js, no need to set it here again.
        schema: env('DATABASE_SCHEMA', 'public'), // Not required

        ssl: {
          rejectUnauthorized: env.bool('DATABASE_SSL_SELF', false), // For self-signed certificates
        },
        useNullAsDefault: true,
      }
    }
  }
};

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系:hwhale#tublm.com(使用前将#替换为@)

nodejs

security

googleappengine

strapi

如何在 Strapi 中安全地设置数据库密码？的相关文章

确保服务器应用程序在摩卡测试开始之前运行

这类似于确保 Express 应用程序在每次 Mocha 测试之前运行 https stackoverflow com questions 18941736 ensuring express app is running before ea
安装 npm 包时自动安装类型定义

有没有办法配置npm以这样的方式每当我安装一个包时它都会检查里面是否有类型定义如果没有请尝试安装 types PACKAGE与 save dev flag 理想情况下我希望这能够自动发生作为插件或其他东西而不需要编写限制 A
如何在node.js中分离TCP套接字消息

我正在尝试使用 TCP 套接字并且对消息如何到达我的应用程序感到困惑看来他们已经分手了有人知道我怎样才能最好地将他们重新组合在一起吗所有消息均以换行符分隔 r n var stream net createConnection po
用于保护网站安全（使用 SSL）时，数字证书如何工作？

请帮助我了解整个过程是如何进行的据我了解 Web 浏览器包含 verisign Entrust Comodo 等证书颁发机构 CA 的根证书但是当用户访问安全页面时到底会发生什么 Web 浏览器是否向 CA 服务器发送请求来验证证书还
如何使用 node.js 请求模块使用我自己的证书进行 SSL 调用？

我正在使用 node js 和此请求模块对另一台服务器进行 HTTP 调用 https github com mikeal request https github com mikeal request 效果很好我现在需要修改此代码以使用
将实体投射到 dto

只是想知道将 NestJS 实体对象转换为 DTO 的最佳方法可以说我有以下内容 import IsString IsNumber IsBoolean from class validator import Exclude from cl
如何在 Python for 循环中获取 GAE ndb 中当前记录的密钥？

我目前有一个网页其中显示数据存储中的记录列表以及编辑链接我想从数据库转换它至新开发银行我是 Python 和 GAE 新手当前代码 tbody for listtype in listtypes tr td listtype Li
DeprecationWarning：当我将脚本移动到另一台服务器时，由于安全和可用性问题，Buffer() 已被弃用

当脚本移动到其他服务器时出现错误节点 15707 DEP0005 DeprecationWarning 由于安全和可用性问题 Buffer 已被弃用请改用 Buffer alloc Buffer allocUnsafe 或 Buffer
让Webpack不捆绑文件

所以现在我正在使用一个原型我们使用 webpack 用于构建 tsx 文件和复制 html 文件和 webpack dev server 之间的组合来提供开发服务正如您可以假设的那样我们也使用 React 和 ReactDOM 作为
使用 Javascript 和 Mongodb 对时间序列数据重新采样

时间序列数据的数据集需要从具有不规则时间间隔的数据集转换为规则时间序列可能使用插值和重采样蟒蛇的pandas Dataframe resample http pandas pydata org pandas docs stable ge
如何使用 node.js / mongodb 在 HTML 中显示任意、无模式数据

我使用 mongodb 将应用程序错误日志存储为 json 文档我希望能够将错误日志格式化为 HTML 而不是将纯 json 返回到浏览器日志是完全无模式的它们可以随时更改因此尝试执行此操作在 Jade 中是没有用的 var i
无法使用 Jade 模板包含相对路径文件

当我尝试将文件包含在同一文件夹中时收到以下错误 the filename option is required to use include with relative paths 有两个文件索引 jade 项目列表 jade cont
安全转义表名/列名

我在 php 中使用 PDO 因此无法使用准备好的语句转义表名或列名以下是我自己实现它的万无一失的方法 tn str replace REQUEST tn column str replace REQUEST column sql SEL
sails js 数据关系

sails js 是否支持模型集合之间的关系如果是这样有人可以指出文档吗例如我有 2 个模型 1 生产 production name string description text 2 Album album name stri
如何在 Node.js 中打开 Windows-1255 编码文件？

我有一个 Windows 1255 希伯来语编码的文件我希望能够在 Node js 中访问它我尝试使用打开文件fs readFile 它给了我一个Buffer我无能为力我尝试将编码设置为Windows 1255 但这没有被识别我还
带回调或异步/等待的节点 postgres 事务？

我正在运行 Node 7 6 0 它支持 async await node postgres 客户端池支持 async await 并且有一个很好的示例here https github com brianc node pg pool pl
使用 Puppeteer 和 Headless Chrome 获取 DOM 节点文本

我正在尝试使用无头 Chrome 和 Puppeteer 来运行我们的 Javascript 测试但我无法从页面中提取结果基于这个答案 https stackoverflow com a 45799744 4794 看起来我应该使用pa
nvm代理设置配置文件

在Linux下我使用 http proxy and https proxy这适用于node and npm but nvm不使用它们我应该在哪个配置文件中写入代理设置 uname a Linux Breizh Atao 3 19 0 3
从 node.js 创建对 AWS ES 实例的有效签名请求

我试图找到一个示例说明如何连接到 Node js 中的 AWS ES 实例然后通过一个简单的请求访问 ES 集群我正在尝试使用elasticsearch节点包 https www npmjs com package elasticse
如何使用node.js获取屏幕分辨率

我需要使用 node js 获取屏幕分辨率但以下代码不起作用 var w screen width var h screen height 这也行不通 var w window screen width var h window scre

随机推荐

CUDA Thrust 和 sort_by_key

我正在寻找 CUDA 上的排序算法它可以对元素数组 A 双精度进行排序并返回该数组 A 的键 B 数组我知道sort by keyThrust 库中的函数但我希望元素数组 A 保持不变我能做些什么我的代码是 void sort
在环形应用程序中捕获异常的惯用方法

处理环形应用程序中的异常的惯用方法是什么我想捕获异常并返回 500 页我怎么做我在下面的代码中使用了 Mustache 但是它不起作用 def my app try app wrap logger true wrap keyword
java.util.logging.Logger 不尊重 java.util.logging.Level？

在普通 Java SE 6 环境中 Logger l Logger getLogger nameless l setLevel Level ALL l fine somemessage Eclipse 控制台中没有显示任何内容 l info
获取实体的请求。attribute == @"somevalue"

如何设置提取请求以仅从具有一个特定值的实体属性中提取数据这是我之前使用过的基本代码 void fetchResults NSFetchRequest fetchRequest NSFetchRequest fetchRequestWith
在 React 中插入 HTML 注释

有没有办法在 React JSX 中插入 HTML 注释节点就像插入组件或 DOM 节点一样例如类似 React createElement Comment comment text 将渲染为这个想法是评论在页面上可见所以 thi
基于订阅的 Web 服务业务/网站的最佳框架？ [关闭]

Closed 这个问题正在寻求书籍工具软件库等的推荐不满足堆栈溢出指南 help closed questions 目前不接受答案我们正在开发一项新的网络服务该服务对于低流量用户免费对于高流量用户则基于订阅大多数用户可能会通过
Spring Integration DSL - 可访问标头的出站网关

我在 Spring 集成方面遇到了问题我正在使用 Spring Boot 1 4 0 RELEASE Spring Integration 4 3 1 RELEASE Spring Integration DSL 1 2 0 M1 我正在
gcc 链接的默认库？

假设我有一个非常简单的 C 文件称为 foo c int main printf foo return 0 现在我调用 gcc gcc foo c 当我调用 gcc 时没有选项如上面的示例默认链接哪些库以及它们位于何处在 Mac
为什么 Hibernate Envers 忽略我的自定义 RevisionEntity？

我正在使用 JPA 2 1 由 hibernate 4 2 11 支持和 spring 4 0 2 开发一个应用程序我们正在使用 Envers 来审核项目实体的变更效果很好当我们尝试使用自定义修订实体时问题就出现了正如 Enve
使用凭证进行跨源资源共享

我有一个跨多个子域 example com blog example com 和 app example com 的通用身份验证表单登录表单必须将此数据提交到 example com 无论它显示在哪里所以我想到使用 CORS 但是这样
将选择值关联到 Angular 4 中的 ngModel

我正在使用 Angular 4 尝试将 Value 关联到 ngModel 但得到Null 请帮助我连接ngValue to ngModel
在AVPlayer中获取averagePowerForChannel

我怎样才能得到averagePowerForChannel in AVPlayer为了在我的音乐应用程序上制作音频可视化我已经完成了可视化部分但我卡在了它的引擎实时音量通道中我知道通过使用AVAudioPlayer它可以很容易地使
auto、0 和无 z-index 之间的区别？

有什么区别 z index auto z index 0 no z index at all 以上所有场景均针对div包含两个divs div1 and div2每个都有一个z index这是9 and 10分别封闭的div位于 HTML
分布式版本控制系统[关闭]

Closed 这个问题不符合堆栈溢出指南 help closed questions 目前不接受答案我想和我的程序员同事一起实现分布式版本控制系统他们分散在周围全部使用不同的 IDE 或不使用 IDE 也使用不同的操作系统我对整个场
Matlab更新子图并坚持下去

我在更新子图时遇到问题我将我的问题归结为以下示例 win figure 1 win sub1 subplot 2 2 1 win sub2 subplot 2 2 2 win sub3 subplot 2 2 3 win sub4 sub
无法访问控制器中的获取发布数据：Codeigniter

我正在我的 codeigniter 项目中使用 fetch 发出发布请求请求看起来像这样 fetch myurl mycontroller method POST headers Content Type application json
VSCode 终端任务不使用 zsh 配置文件

我正在尝试在 VSCode 中的窗口加载上运行任务其中终端打开并且nvm use yarn dev默认运行但是运行此 shell 任务似乎不会加载我的 zsh 配置文件我运行任务得到的输出是 The terminal process
Chome 61、ChromeDriver 2.32 单击移动设备模拟器的元素会抛出 WebDriverException：未知错误：元素在该点不可单击

我的测试在 Chrome 60 和 ChromeDriver 2 31 中完美运行但在 Chrome 更新到 61 版本后我必须将 ChromeDriver 更新到 2 32 现在我收到零星的 org openqa selenium W
IFrame 事件在 HTML 中可以正常执行，但在 HTA 中则不行

单击 iframe 内的按钮时此 HTML 文件会显示消息对话框
如何在 Strapi 中安全地设置数据库密码？

Strapi 框架据我了解要求在启动时提供数据库密码通常密码在database js文件像这样 module exports env gt defaultConnection default connections default

如何在 Strapi 中安全地设置数据库密码？

如何在 Strapi 中安全地设置数据库密码？ 的相关文章

随机推荐

热门标签

如何在 Strapi 中安全地设置数据库密码？的相关文章