我现在有一个 client 的 app,需要访问一个第三方的服务。购买后,他们提供了一个 token。 注:是 token,不是 API secrets
用这个 token,我们可以填写数据,发送给他们的服务器。然后,我们可以登录到网站里面,查看,分析我们的数据。
但现在有一个问题。javascript 原代码是能够看到的,而且我们是个 client app,其他人是可以看到这个 token 的。然后... 你们懂的。要是有恶意的人,是可以用这个 token,发一堆垃圾数据。然后,算帐是算到我们头上。 这个......
Google 了好多,貌似大家都不关注这个问题。认为 token 可以是 public 的,by design 的。
我们有一个方案,就是数据不是直接从 client app 发送,而是先发送到我们自己的搭的一个服务器上,这个服务器上收到消息后,验证是合法的,再用 token 发数据到目标服务器上。 但这样的话,多添加了一个服务器。而且,服务器需要验证客户端,这个也是问题。越搞越复杂。
大家有没有什么好办法么?
这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。
V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。
V2EX is a community of developers, designers and creative people.