V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
yazoox
V2EX  ›  API

请问一下,大家怎么保护用于调用第三方服务的 token?

  •  
  •   yazoox · 2018-12-07 14:37:24 +08:00 · 3309 次点击
    这是一个创建于 2176 天前的主题,其中的信息可能已经有所发展或是发生改变。

    我现在有一个 client 的 app,需要访问一个第三方的服务。购买后,他们提供了一个 token。 注:是 token,不是 API secrets

    用这个 token,我们可以填写数据,发送给他们的服务器。然后,我们可以登录到网站里面,查看,分析我们的数据。

    但现在有一个问题。javascript 原代码是能够看到的,而且我们是个 client app,其他人是可以看到这个 token 的。然后... 你们懂的。要是有恶意的人,是可以用这个 token,发一堆垃圾数据。然后,算帐是算到我们头上。 这个......

    Google 了好多,貌似大家都不关注这个问题。认为 token 可以是 public 的,by design 的。

    我们有一个方案,就是数据不是直接从 client app 发送,而是先发送到我们自己的搭的一个服务器上,这个服务器上收到消息后,验证是合法的,再用 token 发数据到目标服务器上。 但这样的话,多添加了一个服务器。而且,服务器需要验证客户端,这个也是问题。越搞越复杂。

    大家有没有什么好办法么?

    2 条回复    2018-12-07 20:02:30 +08:00
    Zy143L
        1
    Zy143L  
       2018-12-07 19:59:22 +08:00
    考虑通过自己的服务器转发一下请求?
    limuyan44
        2
    limuyan44  
       2018-12-07 20:02:30 +08:00 via Android
    没有办法,不想过服务器的验证再怎么搞都无济于事。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3389 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 11:36 · PVG 19:36 · LAX 03:36 · JFK 06:36
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.