请问一下,大家怎么保护用于调用第三方服务的 token?

2018-12-07 14:37:24 +08:00
 yazoox

我现在有一个 client 的 app,需要访问一个第三方的服务。购买后,他们提供了一个 token。 注:是 token,不是 API secrets

用这个 token,我们可以填写数据,发送给他们的服务器。然后,我们可以登录到网站里面,查看,分析我们的数据。

但现在有一个问题。javascript 原代码是能够看到的,而且我们是个 client app,其他人是可以看到这个 token 的。然后... 你们懂的。要是有恶意的人,是可以用这个 token,发一堆垃圾数据。然后,算帐是算到我们头上。 这个......

Google 了好多,貌似大家都不关注这个问题。认为 token 可以是 public 的,by design 的。

我们有一个方案,就是数据不是直接从 client app 发送,而是先发送到我们自己的搭的一个服务器上,这个服务器上收到消息后,验证是合法的,再用 token 发数据到目标服务器上。 但这样的话,多添加了一个服务器。而且,服务器需要验证客户端,这个也是问题。越搞越复杂。

大家有没有什么好办法么?

3325 次点击
所在节点    API
2 条回复
Zy143L
2018-12-07 19:59:22 +08:00
考虑通过自己的服务器转发一下请求?
limuyan44
2018-12-07 20:02:30 +08:00
没有办法,不想过服务器的验证再怎么搞都无济于事。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/515359

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX