我最近让一位开发人员为我创建了一个web应用程序,该应用程序基本上允许用户从我的网站访问卖家帐户中的详细信息。
然而,在查看了下面的代码后,我在amazon-config.php文件中看到了这一点。注意:我已经删除了下面的详细信息。
$store[SellerID] = 'The users store ID';
$store[Marketplace] = 'ATVPDKIKX0DER';
$store[AccessKey] = 'My Access Key';
$store[SecretKey] = 'My Secret Access Key';
$store[AuthToken] = 'The users MWS Auth token';
我担心的是,使用这段代码,我在Web服务器上的配置文件中有明文形式的访问密钥和秘密访问密钥(http://www.example/includes/amazon-config.php)。据我所知,如果有人获得了这个文件中的信息,那么他们几乎可以对我的亚马逊账户做任何事情。
这是从我的web应用程序安全访问Amazon MWS API的最佳方式吗?或者有没有一种更安全的方法,不需要以明文形式添加我的详细信息?
如果有更好的方法,我们将不胜感激。我在网上浏览过,并阅读过有关IAM用户密钥的内容,但这似乎只引用了AWS API,而不是MWS(不确定它们之间的相互关系)。我也读到过,你永远不应该把密钥直接嵌入到代码中。
感谢您提供的任何帮助。
只需要考虑几点。。1.我同意将它们提升一个级别,或者使用数据库表,但认为后者是最好的,因为我认为你无论如何都应该使用一个带有批准用户SellerIds列表的数据库表。
-
最坏的情况是,MWS支持可能会生成一组新的密钥
-
我不会硬编码在市场。。。美国市场可以是统一NA帐户的一部分,用户可能还需要访问CA或MX。