假设我正在开发一个移动应用程序,该应用程序可以调用API服务器。 API服务器由API key 保护。
我无法在移动应用程序内部对API key 进行硬编码,因为它可能被盗。
如何保护API key ?
最佳答案
How is that problem usually solved?
(这听起来像您要保护的API key 是您不拥有的API服务的。)
一种方法是使用身份验证服务器。专用API key 保留在身份验证服务器上,并且只有在有效登录后才能共享。
那么这是如何工作的呢?
从体系结构上讲,您将需要一个单独的身份验证服务器,这将使您拥有2个不同的服务器:
第二种方法是使用直通服务器。私有(private)API key 永远不会以这种方式共享。可以将身份验证添加到直通服务器上,但不是必需的。
那么这是如何工作的呢?
在这种情况下,您拥有直通服务器,因此您无需共享API key ,并且用户身份验证是可选的。
关于api - 移动后端API key 的安全性,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/55394495/