gpt4 book ai didi

security - 在 PhoneGap 中保护第三方 API key / secret

转载 作者:行者123 更新时间:2023-12-04 05:34:29 24 4
gpt4 key购买 nike

我目前正在评估我想到的应用程序使用原生与 PhoneGap 的优缺点,到目前为止,PhoneGap 似乎是理想的选择,因为大部分数据处理将在服务器端完成,而该应用程序只是一种获取用户输入的手段。

但是我已经阅读了很多关于如何使用 PhoneGap .html 的信息。和 .js文件可以在有根/越狱的手机上轻松访问。我担心我的应用程序将使用几个第三方 API,特别是 最后.fm 解析 .这两个 API 都带有 API key 。这不会引起安全问题吗?虽然使用我的 Last.fm API key 可能造成的最大损害是耗尽 API 限制,但使用 Parse,情况可能会严重得多,尤其是如果我打算存储用户登录名、密码、电子邮件等。任何人都可以简单地获取我的 Parse 应用程序 ID 和 JavaScript key 并开始在 Parse 上查询(并且可能(但不太可能)竞争对手或巨魔(更有可能)可以从我的应用程序 ID 中推高请求/秒,这样我最终会得到一个很大的, 10,000 美元的胖纸币)。

在 PhoneGap 中开发应用程序时,是否有任何方法可以保护/加密/混淆这些 API key ?如果你成为本地人,这个问题会消失吗?

最佳答案

首先,我认为您提到的安全问题不仅仅与Phonegap有关, native 应用程序也存在同样的问题。我承认,在 native 应用程序中很难找到这些键,但它是可行的。

附带说明一下,Android apk 和 Apple ipa 文件实际上都是 zip 存档,因此您不需要有 root 权限的手机来打开并查看内部。您已经可以为所有应用程序(不仅是 Phonegap,还包括 native 应用程序)执行此操作,打开存档,查看资源。但是在 native 应用程序中,您有一个二进制可执行文件而不是 html/js 文件。这就是为什么要弄清楚里面的数据(键)和应用程序逻辑并不容易。

一种方法是实现一种特殊方案,该方案将在打包(开发)期间加密您的 js 文件,将其与应用程序一起分发并在运行时解密。这是完全有可能的(我们在一个项目中成功地做到了),您的 Phonegap 应用程序变得像原生应用程序一样难以破解。请注意,我并不是说不可能,因为您仍然存在将解密 key 隐藏在代码/资源中的问题。但是请注意,编写这样的框架并不容易,还需要对 Phonegap 源代码进行一些修改。

我认为隐藏 Parse 等的 key 的最安全解决方案是使用您自己的服务器,实现服务器到服务器的身份验证,然后将 token 传递给您的客户端以进行客户端-服务器通信。在所有其他情况下,您必须将 key 与应用程序一起发送,无论您如何隐藏它,总会有人想办法取消隐藏它。

关于security - 在 PhoneGap 中保护第三方 API key / secret ,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/25856208/

24 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com