个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
25
4
我正在开发一个 React-Redux 网络应用程序,它与 AWS Cognito 集成以进行用户身份验证/数据存储,并与 Shopify API 集成,以便用户可以通过我们的网站购买商品。
对于这两个 SDK(Cognito、Shopify),我遇到了一个问题:它们的核心功能在后台将数据附加到 localStorage,这需要两个 SDK 都在客户端运行边。
但是完全在客户端运行这段代码意味着这两个 API 都需要的 API token 是完全不安全的,以至于有人可以从我的 bundle 中获取它们,然后从任何地方进行身份验证/填充购物车/查看库存/任何东西(对?)。
我在两个 repo 协议(protocol)上都写了问题来指出这一点。 Here's the more recent one, on Shopify .我看过 similar questions在 SO 上,但我没有发现直接解决这些自定义 SDK/根深蒂固的 localStorage 用法,我开始怀疑我是否遗漏/误解了有关客户端安全性的内容,所以我想我应该只需询问对此了解更多的人即可。
我感兴趣的是,抽象地说,是否有一种保护像这样的客户端 SDK 的好方法。一些想法:
最初,我尝试通过服务器代理所有请求,但是 localStorage 功能不起作用,我不得不在请求后伪造它并添加一大堆SDK 旨在处理的代码。事实证明,这非常困难/困惑,尤其是对于 Cognito。
我也在考虑创建一个服务器端端点,它只返回凭据并阻止来自域外的请求。在那种情况下,凭据不会在 bundle 中,但是一旦提出凭据请求,它们最终不会被网站上的某人扫描吗?
是否认为这些 key 实际上不需要是安全的,因为添加到 Shopify 购物车或使用应用程序注册用户不需要是安全操作?我只是担心我显然不知道用户可以使用这些凭据执行的全部操作,而且将它们保密显然是一种最佳做法。
谢谢!
最佳答案
你不能把 key 之类的东西放在一个 .env 文件中吗?这样,没有人可以看到您在那里存储了哪些 key 。然后您可以通过 process.env.YOUR_VAR 访问您的 key
对于 Cognito,您可以在 .env 文件中存储用户池 ID、应用程序客户端 ID、身份池 ID 等内容。
dotenv 的 NPM 包可以在这里找到:NPM dotenv
此外,您目前正在存储哪些让您担心的绝密资料? “API token ”是指您在向 Cognito 进行身份验证后获得的 OpenId token 吗?
关于javascript - 保护 JS 客户端 SDK,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/42166436/
25
4
0
我正在细读 http://www.khronos.org/网站,只找到了 OpenCL 的头文件(不是我不关心的 OpenGL)。如何获取 OpenCL SDK? 最佳答案 AMD 的 ATI Str
Android 项目中最低(最低 sdk)和最高(目标 sdk)级别是否有任何影响。这些东西是否会影响项目的可靠性和效率。 最佳答案 没有影响,如果您以 SDK 级别 8 为目标,那么您的应用将以 9
“min sdk version/target sdk version”和“compile sdk version”有什么区别?我知道 min 和 target sdk 是什么意思,但是 compil
我正在尝试运行 Dji Mobile-Sdk-Android:https://github.com/dji-sdk/Mobile-SDK-Android使用 dji 网站上的说明:https://de
我目前正在向我的 iPhone 应用程序添加新的 Facebook iOS sdk 3.1.1。我看到 sdk 有重大变化。例如。我的旧 sdk 创建一个 Facebook 对象并从 FBReques
我最近刚刚下载了 Xcode 4.6 with mac 10.8.4 with iOS 6.0 SDK package,我立即注意到我无法使用我的 iPhone 3Gs with iOS 4.6 进行
我尝试下载 OpenCL SDK。但是没办法。我有一个 AMD GPU,所以我在谷歌上搜索了 AMD SDK,但是来自谷歌的所有链接和一些教程都被破坏了,不可能通过 AMD 开发者网站找到 sdk。
安装 Google Cloud SDK 后,当我运行时 gcloud 授权登录 我收到一条错误消息: Your browser has been opened to visit: https://a
我一直在 nvidia 网站上搜索 GPU 计算 SDK,因为我正在尝试构建具有 cuda 支持的点云库 (PCL)。但是,在 nvidia 网站上,我只能找到工具包的链接,而不是 SDK 的单个下载
Closed. This question needs to be more focused。它当前不接受答案。 想改善这个问题吗?更新问题,使其仅关注editing this post一个问题。 2
当我打开 Android SDK 管理器时,会出现一个屏幕“选择要安装的包”。它列出了一堆带有绿色复选标记(已经安装)的软件包,还有一些带有 x's 的软件包,它们没有安装。如果我选择“全部接受”,它
在开发过程中,我发布了 SDK 21 Lollipop,但我无法在我的 KitKat 设备上使用它。应用程序非常简单,我只将 SDK 用于动画和 Material 设计,但是当我尝试对 Play 商店
enter image description here friend 们好 在使用 Linux、jenkins 和 docker 探索 dotnet 核心时,我遇到了构建问题,该问题在标题“/usr
关闭。这个问题需要debugging details .它目前不接受答案。 编辑问题以包含 desired behavior, a specific problem or error, and th
我创建了一个flutter项目,运行flutter packages get,输出如下:【二】flutter包搞定等待另一个 flutter 命令释放启动锁...第二次运行“flutter packa
这个问题在这里已经有了答案: What are the Android SDK build-tools, platform-tools and tools? And which version sh
我使用 Corona SDK 已经快一年了,并且开发了几个简单的游戏。我现在正在寻找的是在 Corona SDK 中创建 3D 幻觉的某种方法。如果有人有 Corona 3D 方面的经验,我将不胜感激
我有一个CLDC 1.1 / MIDP 2.0项目,可以使用Java ME SDK 3.2很好地进行编译。 最近,我已将Java SE升级到8,结果Java ME SDK开始在Windows启动时显示
有没有办法以编程方式控制连接到华擎主板的 RGB 照明?我知道华硕有一个 Aura SDK,但华擎是否也有一个用于他们的硬件? 如果是,我在哪里可以找到它? 最佳答案 没有用于华擎多彩的 sdk。但是
如何使用 crm 2011 sdk 和 XrmServiceContext 创建事务? 在下一个示例中,'new_brand' 是一些自定义实体。我想创建三个品牌。第三个拥有错误的 OwnerID g
我是一名优秀的程序员,十分优秀!