我正在构建一个使用两条腿身份验证的应用程序。我得到了一个 API 密钥和 API Secret,但现在我很困惑。
我目前将我的 api 密钥和机密存储在 .yml 文件中。但我想分发 .app 代码,最终会有 .yml 文件。
但是 .app 文件将包含 .yml 文件,这很糟糕,因为每个人都可以看到 API 密钥和 Secret。
如何存储 API 密钥和 Secret,以便我的应用程序可以访问密钥和密钥,而用户不会看到?
【问题讨论】:
答案取决于几个变量:
以下是我根据经验对不同场景的建议:
然后使用服务器发出请求。假设您需要调用example.com/api/v1,并且您想使用一组特定的参数调用一个特定的函数,那么您只能允许使用该特定的参数集和该特定函数对该特定 API 的请求.这样一来,对于潜在的攻击者来说,它没有任何意义,因为它只调用一个函数而没有其他任何东西。
好吧,您无能为力,混淆是您的最佳选择。执行此类操作的最佳方法是将其隐藏在代码的深处,并使其变得晦涩,等等,等等,等等,
使用真正混淆的程序集,如果可以,请不要分享源代码。例如,你可以有红鲱鱼指令,就像以前一样,你应该把它隐藏在你的代码深处。
为此它与上面相同,因为不会包含程序集的源
如果我没有在此处列出您的方案,请随时发表评论,我将编辑我的答案
【讨论】:
虽然我认为现有答案在技术上是正确的,但指出分布式软件中硬编码 api 密钥存在一些安全问题可能会令人生气。
API 密钥的性质是易变的,它并非旨在永远持续下去。
如果 API 密钥失效会怎样?那不会使所有分布式软件都变得无用吗? 如果 API 密钥具有写入权限并被泄露,会发生什么?您如何区分合法写入和恶意写入?
尽管我了解开销,但最终用户可以设置由最终用户自己获得的专用密钥以及替换该初始密钥的方法的场景将有助于解决上述两个问题。
其中一个 API Key 功能将由代表用户操作的机器使用,但如果所有用户都相同,则此功能变得毫无意义。
【讨论】: