这几天我脑子里只有一个想法。
我使用trigger.io 作为我们移动应用程序的平台。我们都使用 javascript 作为 REST API 的脚本语言。
由于我们使用的是 Javascript,因此如果有人反编译应用程序并查看其源代码,则可以看到所有代码,尤其是帐户凭据(Api Key、Secret Key 等)。
我想知道是否有来自trigger.io的人可以回答、澄清并给我们一些具体的例子,如何使我们的应用程序免受任何恶意攻击(重放攻击、侧面劫持等)和帐户滥用。
谢谢!
最佳答案
key 安全绝对是用户设备上运行的任何应用程序的一个大问题。
从 Trigger.io 应用程序中提取 key 可能比从已编译的 native 应用程序中提取 key 稍微容易一些,因为您的 JavaScript 可能比编译代码更容易混淆。如果您希望将 key 保存在已编译的代码中,那么您可以考虑使用 native 插件,该插件仅将 key 释放给 JS - http://docs.trigger.io/en/v1.4/modules/native/ .
但是,我不建议这样做,因为仍然可以从编译的代码中提取 secret key - 即使混淆二进制文件中的 key 也不足以挫败坚定的黑客。
据我们所知,解决该问题的唯一方法是不在应用程序本身中包含任何 key ,而是让用户执行交互式身份验证步骤。一旦发生这种情况并且您知道自己在与谁交谈,您的服务器就可以释放应用程序所需的 key 。
关于api - Trigger.io 安全性,特别是针对 REST API,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/14999265/