シークレット管理の一部はHTTPプロキシに任せるべき

要点

アウトバウンドのAPIコールをMITMプロキシ経由でルーティングし、シークレットをそこで注入する。アプリコードには生のAPIキーを一切持たせない設計です。

ポイント

• プロキシがアウトバウンドHTTPSをインターセプトして認証ヘッダーを注入 — アプリは生のAPIキーに触れない
• アプリからプロキシへの認証は依然として必要で、プロキシキーが漏洩すれば全サービスが危険にさらされる
• ボーナス：URLリライトでテスト時にダミーサーバーへ向けられる — アプリコードの変更不要

コメント

• [sakisv]：問題を一段階ずらしているだけ — プロキシの認証キーが漏れれば全サービスが露出する
• [rtrgrd]：ヘッダー注入のためにTLS MITM証明書を使うこと自体が、それなりのセキュリティリスクを生む
• [danlitt]：URLリライトにより、アプリコードを触らずにテストのモッキングをきれいに実現できる
• 発想としては筋が通っているが、HN（Hacker News：技術者コミュニティ）では「キー漏洩の問題を解決するのではなく移動させているだけ」という指摘が多く寄せられた。

HNで議論を読む

原文（英語）: Some secret management belongs in your HTTP proxy