从远程“配置”服务器获取移动配置是否是“反模式”？答案

【问题标题】：is it an 'anti-pattern' to grab mobile configuration from a remote, 'configuration' server?从远程“配置”服务器获取移动配置是否是“反模式”？
【发布时间】：2017-11-08 03:34:33
【问题描述】：

我是移动开发的新手，想知道使用远程配置服务器来“配置”移动客户端是否是一种反模式。这个想法是避免使用移动分发配置细节[除了配置服务器的 URL]，而是连接到配置服务器以获取其他细节，例如第三方密钥、服务端点等。任何想法。提前致谢！！

【问题讨论】：

您主要关心的是保护该服务器；什么是阻止攻击者连接到该服务器以检索 API 密钥等。
可以类似地使用.mobileconfig文件，所以不是真正的反模式。
所以我们的想法是让连接安全（TLS/SSL）并进行某种身份验证；类似于只有移动客户端知道的用户名/密码（硬编码、配置它们，或者拥有某种手机知道的密钥生成算法）。虽然这带来了一个问题，什么是阻止恶意用户侵入手机并获取身份验证详细信息的问题......这将我们带到了第一点。所以这就是我问的部分原因是专业人士如何做到这一点？通过直接配置手机还是通过配置服务器？？
感谢 cmets，顺便说一句 @Paulw11
谢谢@l'L'l

标签： ios swift architecture software-design

【解决方案1】：

只要您能够保护与配置服务器的连接，使用用户名/密码和 SSL 加密，它就不是反模式。它将使您不必为了更新某些配置而发布新的应用程序版本。

但在我看来，将第三方 API 密钥保存在移动应用程序中是个坏主意。

您能否保证每个使用您的应用程序的用户都不会使用放置在移动应用程序中的密钥来使用第三方服务来达到自己的目的？我认为没有人能做出这样的保证。

【讨论】：