如果别人通过反编译 android java code,获得了 REST 的 accessKey 和 secretKey,那怎么处理?

2014-11-28 00:43:30 +08:00
 arachide
请教
4659 次点击
所在节点    LeanCloud
10 条回复
abelyao
2014-11-28 08:07:25 +08:00
所以大多数服务商例如 SAE / UPYUN / 微信,都可以更换 SecretKey 嘛
benjiam
2014-11-28 08:20:03 +08:00
问题一破解 你换key 原有的客户端怎么办 完全失效
NCE
2014-11-28 08:57:51 +08:00
这个时候就显出OAUTH验证的优势了。。。
oott123
2014-11-28 09:33:50 +08:00
@NCE oAuth 不是也有 ak 和 sk 嘛,被拿去做坏事也不好啊~

再说 OAuth 是给用户鉴权用的,像 APP 的推送这类 SDK 也没办法用不是…
sampeng
2014-11-28 11:03:38 +08:00
我的做法是放到ndk编译的so里面,然后这些key不是写死的,是用算法算出来的。
arachide
2014-11-28 11:23:35 +08:00
@sampeng 如果客户端是网页用leancloud怎么办呢
icylogic
2014-11-28 11:23:38 +08:00
http://kb.qiniu.com/53cy0s73 不要放key,服务端实时发 token
julyclyde
2014-11-28 11:59:01 +08:00
@NCE 这事oauth完全显示不了任何优势
arachide
2014-11-28 13:28:51 +08:00
@icylogic 请问这个如何将Access Key 和 Secret Key放在服务器端
hjiang
2014-12-08 11:48:37 +08:00
LeanCloud 提供了 ACL 机制来保证数据安全性,不需要假设 AppKey 和 AppID 是保密的。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/149832

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX