V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
LeanCloud
LeanCloud
arachide
V2EX  ›  LeanCloud

如果别人通过反编译 android java code,获得了 REST 的 accessKey 和 secretKey,那怎么处理?

  •  
  •   arachide · 2014-11-28 00:43:30 +08:00 · 4637 次点击
    这是一个创建于 3649 天前的主题,其中的信息可能已经有所发展或是发生改变。
    请教
    10 条回复    2014-12-08 11:48:37 +08:00
    abelyao
        1
    abelyao  
       2014-11-28 08:07:25 +08:00 via Android
    所以大多数服务商例如 SAE / UPYUN / 微信,都可以更换 SecretKey 嘛
    benjiam
        2
    benjiam  
       2014-11-28 08:20:03 +08:00 via iPad
    问题一破解 你换key 原有的客户端怎么办 完全失效
    NCE
        3
    NCE  
       2014-11-28 08:57:51 +08:00
    这个时候就显出OAUTH验证的优势了。。。
    oott123
        4
    oott123  
       2014-11-28 09:33:50 +08:00 via Android
    @NCE oAuth 不是也有 ak 和 sk 嘛,被拿去做坏事也不好啊~

    再说 OAuth 是给用户鉴权用的,像 APP 的推送这类 SDK 也没办法用不是…
    sampeng
        5
    sampeng  
       2014-11-28 11:03:38 +08:00
    我的做法是放到ndk编译的so里面,然后这些key不是写死的,是用算法算出来的。
    arachide
        6
    arachide  
    OP
       2014-11-28 11:23:35 +08:00
    @sampeng 如果客户端是网页用leancloud怎么办呢
    icylogic
        7
    icylogic  
       2014-11-28 11:23:38 +08:00 via Android
    http://kb.qiniu.com/53cy0s73 不要放key,服务端实时发 token
    julyclyde
        8
    julyclyde  
       2014-11-28 11:59:01 +08:00
    @NCE 这事oauth完全显示不了任何优势
    arachide
        9
    arachide  
    OP
       2014-11-28 13:28:51 +08:00
    @icylogic 请问这个如何将Access Key 和 Secret Key放在服务器端
    hjiang
        10
    hjiang  
       2014-12-08 11:48:37 +08:00
    LeanCloud 提供了 ACL 机制来保证数据安全性,不需要假设 AppKey 和 AppID 是保密的。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2844 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 22ms · UTC 09:23 · PVG 17:23 · LAX 01:23 · JFK 04:23
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.