SST 项目中如何安全地存储 Stripe Webhook 密钥

在构建现代云应用时，安全地管理敏感信息如 API 密钥和凭证是至关重要的。SST (Serverless Stack) 作为一个流行的无服务器框架，提供了 sst.Secret 资源来帮助开发者安全地管理这些敏感数据。本文将探讨如何在 SST 项目中安全地存储 Stripe Webhook 的密钥。

问题背景

当开发者使用 Stripe 的 Webhook 功能时，Stripe 会为每个 Webhook 端点生成一个签名密钥 (secret)。这个密钥用于验证来自 Stripe 的 Webhook 请求的真实性。开发者需要安全地存储这个密钥，并在应用中使用它来验证请求。

在 SST 项目中，开发者通常会使用 sst.Secret 资源来存储这类敏感信息。然而，当尝试直接从 Stripe Webhook 端点的输出中获取密钥并存储时，会遇到类型不匹配的问题，因为 stripe.WebhookEndpoint.secret 返回的是一个 Output<string> 类型，而 sst.Secret 构造函数期望的是一个普通的字符串。

解决方案

SST 团队在 v3.6.11 版本中解决了这个问题，现在开发者可以直接将 Output<string> 类型的值传递给 sst.Secret 构造函数。这使得存储动态生成的密钥变得更加简单和安全。

以下是实现这一功能的最佳实践示例代码：

// 创建 Stripe Webhook 端点
const stripeWebhook = new stripe.WebhookEndpoint("StripeWebhook", {
  url: `https://${apiDomain}/subscriptions/webhook`,
  enabledEvents: ["checkout.session.completed"],
});

// 安全地存储 Webhook 密钥
const stripeWebhookSecret = new sst.Secret("StripeWebhookSecret", stripeWebhook.secret);

技术细节

1. Output 类型的作用：在 SST/Pulumi 生态中，Output<T> 是一个特殊的类型，表示一个异步计算的值。它允许框架处理基础设施资源之间的依赖关系。

2. Secret 管理：SST 的 Secret 资源不仅存储值，还确保这些值在部署过程中和运行时都得到适当的保护。它们不会出现在日志或状态文件中。

3. 自动依赖处理：通过直接传递 Output<string>，SST 可以自动处理资源之间的创建顺序依赖关系，确保 Webhook 端点先创建，然后才尝试存储其密钥。

最佳实践

1. 命名约定：为 Secret 资源使用清晰的名称，如示例中的 "StripeWebhookSecret"，以便于识别和管理。

2. 访问控制：确保只有需要访问该密钥的服务或函数具有相应的权限。

3. 轮换策略：虽然 Stripe Webhook 密钥通常不需要频繁轮换，但应该建立监控机制来检测密钥泄露的可能性。

4. 环境分离：在不同的环境（开发、测试、生产）中使用不同的 Webhook 端点和密钥。

总结

SST 框架通过支持 Output<string> 类型的直接传递，简化了动态生成密钥的安全存储过程。这一改进使得开发者能够更轻松地构建安全的无服务器应用，特别是在与第三方服务如 Stripe 集成时。通过遵循本文介绍的最佳实践，开发者可以确保他们的应用在处理敏感信息时既安全又高效。

随着 SST 框架的持续发展，我们可以期待更多类似的改进，使基础设施即代码的实践变得更加简单和安全。