首页   注册   登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
拉勾
V2EX  ›  API

请问一下,大家怎么保护用于调用第三方服务的 token?

  •  
  •   yazoox · 107 天前 · 286 次点击
    这是一个创建于 107 天前的主题,其中的信息可能已经有所发展或是发生改变。

    我现在有一个 client 的 app,需要访问一个第三方的服务。购买后,他们提供了一个 token。 注:是 token,不是 API secrets

    用这个 token,我们可以填写数据,发送给他们的服务器。然后,我们可以登录到网站里面,查看,分析我们的数据。

    但现在有一个问题。javascript 原代码是能够看到的,而且我们是个 client app,其他人是可以看到这个 token 的。然后... 你们懂的。要是有恶意的人,是可以用这个 token,发一堆垃圾数据。然后,算帐是算到我们头上。 这个......

    Google 了好多,貌似大家都不关注这个问题。认为 token 可以是 public 的,by design 的。

    我们有一个方案,就是数据不是直接从 client app 发送,而是先发送到我们自己的搭的一个服务器上,这个服务器上收到消息后,验证是合法的,再用 token 发数据到目标服务器上。 但这样的话,多添加了一个服务器。而且,服务器需要验证客户端,这个也是问题。越搞越复杂。

    大家有没有什么好办法么?

    2 回复  |  直到 2018-12-07 20:02:30 +08:00
        1
    Zy143L   106 天前
    考虑通过自己的服务器转发一下请求?
        2
    limuyan44   106 天前 via Android
    没有办法,不想过服务器的验证再怎么搞都无济于事。
    关于   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   2242 人在线   最高记录 4385   ·  
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.3 · 17ms · UTC 07:48 · PVG 15:48 · LAX 00:48 · JFK 03:48
    ♥ Do have faith in what you're doing.
    沪ICP备16043287号-1