安全最佳实践
保护你的 Pelago 集成的安全建议。
API 密钥安全
应当 ✅
- 将密钥存储在环境变量中
- 沙盒与生产环境使用不同密钥
- 每 90 天轮换密钥
- 尽可能使用范围密钥
禁止 ❌
- 将密钥提交到版本控制系统
- 通过不安全渠道分享密钥
- 在客户端代码中暴露密钥
- 在开发中使用生产密钥
Webhook 安全
- 始终验证签名
- 检查时间戳(拒绝过期的 Webhook)
- 异步处理(快速响应)
- 实现幂等性(处理重复事件)
const isValid = pelago.webhooks.verify(
payload,
signature,
timestamp,
secret
);
基础设施
- 全面启用 HTTPS
- 尽可能使用 IP 白名单
- 实施速率限制
- 监控异常行为
钱包安全
- 大额资金使用硬件钱包
- 提款实施多签控制
- 定期安全审计
- 保持软件更新
事件响应
- 检测:监控日志和告警
- 遏制:撤销已泄露的密钥
- 调查:审查访问日志
- 恢复:轮换所有凭证
- 报告:联系 [email protected]