在 Postgres/Supabase 中生成 HMAC 和安全性

发布于 2025-01-09 07:20:30 字数 323 浏览 0 评论 0原文

我需要使用 Supabase 上的 Postgres 功能为我的用户生成 hmac。我正在运行以下命令,以便在用户请求时在运行时生成它。

create or replace function get_hmac(message text) returns varchar
as $$
     SELECT ENCODE(HMAC(message,'mykey','sha256'),'hex');
$$ language sql;

但是,我不确定这是否安全,因为我的密钥(“mykey”)只是放在那里,暴露给任何有权访问我的 sql 编辑器的人。我该如何解决这个问题?

I need to generate hmac for my users using Postgres' function on Supabase. I am running the following command to generate it at runtime when the user requests for it.

create or replace function get_hmac(message text) returns varchar
as $
     SELECT ENCODE(HMAC(message,'mykey','sha256'),'hex');
$ language sql;

However, I am unsure if this is safe because my key ('mykey') is just sitting there exposed to anyone who has access to my sql editor. How do I go about tackling this issue?

如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。

扫码二维码加入Web技术交流群

发布评论

需要 登录 才能够评论, 你可以免费 注册 一个本站的账号。

评论(1

锦欢 2025-01-16 07:20:30

硬编码值从来都不是一个好主意,因为它们变得分散并增加了泄漏的风险。
在 Supabase 中,您应该使用 Vault 来保存您的所有机密。

首先,您应该安装 Vault 扩展

create extension vault with schema vault;

然后将所需的机密插入到 Vault 中

insert into vault.secrets
  (secret, associated)
values
  ('s3kr3t_k3y', 'secretAPIkey');

机密现在已加密存储在 Vault 中。
要查看解密的数据,您可以使用:

select * from vault.decrypted_secrets;

要使用它,您应该能够编写如下内容:

create or replace function get_hmac(message text) returns varchar
as $
  SELECT ENCODE(HMAC(message,
    (SELECT decrypted_secret FROM vault.decrypted_secrets
      WHERE associates = 'secretApiKey') as vault,
    'sha256'
     ),'hex');
$ language sql;

完整的解释可以在 Supabase 博客网站

另一种选择是使用环境变量,但我认为 Vault 是更好的解决方案。

Hardcoding values is never a good idea as they become decentralized and increase the risk of leakage.
In Supabase you should use Vault for all your secrets.

First you should install the Vault extension

create extension vault with schema vault;

Then insert the required secrets into the vault

insert into vault.secrets
  (secret, associated)
values
  ('s3kr3t_k3y', 'secretAPIkey');

The secrets are now stored in the vault encrypted.
To look at the decrypted data you can use:

select * from vault.decrypted_secrets;

And to use it you should be able to write something like this:

create or replace function get_hmac(message text) returns varchar
as $
  SELECT ENCODE(HMAC(message,
    (SELECT decrypted_secret FROM vault.decrypted_secrets
      WHERE associates = 'secretApiKey') as vault,
    'sha256'
     ),'hex');
$ language sql;

A full explanation is found on the Supabase blog site

Another option is using environment variables but I think that vault is a better solution.

~没有更多了~
我们使用 Cookies 和其他技术来定制您的体验包括您的登录状态等。通过阅读我们的 隐私政策 了解更多相关信息。 单击 接受 或继续使用网站,即表示您同意使用 Cookies 和您的相关数据。
原文