Ant*_*ren 4 spotify libspotify
libspotify的使用条款规定密钥应以安全的方式存储.存储我发现的密钥的唯一建议是编译应用程序并分发二进制文件.由于密钥可以使用调试器轻松检索,因此我很难将其视为默认安全.
这真的是Spotify建议的方法吗?如果我只编译包含密钥的文件并将我的应用程序的其余部分作为开源分发呢?
我想我的问题的本质是:我如何避免违反ToS而不要求每个用户都获得自己的密钥?
逻辑是这样的(我对Spotify的工作):需要我们的开发者通过一束篮球的跳只是为了让自己的API密钥的二进制文件不会是值得的 - 开发商将被它关闭,每个人都会不高兴.
但是,我们不想让按键被四处传播,仅仅是因为如果大家都在用一个关键,我们不能可靠地跟踪它,如果该键最终被用于恶意的东西,我们杀了它,许多应用程序会突然被打破了.
强迫进行可怕的汽车比赛,想象一下API密钥是一些有价值的项目,你的应用程序就是一辆汽车.如果你把这个项目放在汽车座位上(例如,你的API密钥是纯文本的),你实际上是邀请某人闯入并窃取它(即,在他们自己的应用程序中使用你的密钥).如果你把它放在手套箱里(把它编成你的二进制文件),如果有人闯入你的车(拆解你的应用程序),因为他们知道这个项目在手套箱中,那么无论如何它都是游戏.
简而言之:通过默默无闻来编译密钥绝对是安全的,但是我们觉得这足以阻止人们随意重用其他应用程序的API密钥,而直接从我们这里获取密钥是相当简单的.
我想我的问题的本质是:我如何避免违反ToS而不要求每个用户都获得自己的密钥?
如果您以二进制形式分发应用程序,那么编译它就可以了.如果您以源代码形式分发它,则无法真正包含密钥.
| 归档时间: |
|
| 查看次数: |
2632 次 |
| 最近记录: |