python - 如何保护将分发给客户端的应用程序中的 API key

Question

我正在构建一个使用两条腿身份验证的应用程序。我得到了一个 API key 和 API secret ，但现在我很困惑。
我目前将我的 api key 和 secret 存储在 .yml 中文件。但我想分发 .app 代码，最终会得到 .yml 文件。
但是 .app 文件将包含 .yml 文件，这很糟糕，因为每个人都可以看到 API key 和 Secret。
如何存储 API key 和 secret ，以便我的应用程序可以在用户不看到的情况下访问 key 和 secret ？

Answer 1

答案取决于几个变量:

包括你的来源吗？

是否可以使用服务器为您调用 API？如果是这样，您是否也可以对服务器发出的调用应用限制？

使用编译代码存储 key 的位置是一个选项吗？如果是这样，是否可以混淆它？

以下是我根据经验对不同场景的建议:
源不包括在内，使用服务器是一个选项，可以应用限制，但是使用编译代码不是参数
然后使用服务器发出请求。假设您需要调用 example.com/api/v1 ，并且您想使用一组特定的参数调用特定的函数，那么您只能允许对该特定 API、具有该特定参数组和该特定函数的请求。这样，它对潜在的攻击者没有任何意义，因为它只调用一个函数而没有其他任何东西。
不包括源代码，使用服务器不是一种选择，编译后的代码也不是一种选择
好吧，您无能为力，混淆是您最好的选择。做这样的事情的最好方法是把它隐藏在你的代码深处，让它变得模糊，等等，等等，
包含源代码，使用服务器不是一种选择，但您可以使用编译代码
使用真正混淆的程序集和 如果可以，请不要分享来源 .例如，你可以有红鲱鱼指令，就像以前一样，你应该把它隐藏在你的代码深处。
不包括源代码，使用服务器不是一种选择，但您可以使用编译代码
为此，它与上面相同，因为不包括程序集的源代码
如果我没有在这里列出您的场景，请随时发表评论，我会编辑我的答案