fly*_*pen 2 security rest android oauth oauth-2.0
我的移动应用使用第三方API访问某些资源.它有一个公钥和一把私钥.对于每个请求,我使用私钥对某些特定数据进行一些哈希计算,并将结果发送到服务器.服务器将使用我的私钥验证结果,以确保请求有效.私钥不会通过网络发送.
但是,私钥应保存在客户端中.我认为通过一些逆向工程的其他人找到它并不困难.这是一种更安全的私钥使用方式吗?
如果密钥被盗,我可以更改私钥.但原来的应用程序不能再使用了.这是解决这个问题的更好方法吗?
(我设置自己的代理服务器可以解决部分问题.有没有更好的方法?)
我建议将第三方API访问权限卸载到您控制的REST服务.从那时起,您提供的私有API访问密钥将安全地锁定在您拥有的计算机上,并且不太可能受到攻击.
然后,您只需更新您的移动应用程序,即可在定义明确的端口和地址与您的服务器联系(可选择执行某种您想要处理流量的验证),然后根据需要转发该请求.这也允许您非常精细地控制您希望向最终用户公开的第三方API的特定部分.
分发用于第三方API访问的私钥可能是一个非常糟糕的想法(可能违反您的服务条款),因为恶意客户端可能会通过整理服务来引发许多问题.
| 归档时间: |
|
| 查看次数: |
195 次 |
| 最近记录: |