Bro*_*and 5 amazon-s3 amazon-web-services ios
亚马逊有一个适用于iOS的AWS SDK,以及几个示例应用程序.在他们的示例中,他们将API凭据放在一个Constants.h文件中:
// Constants used to represent your AWS Credentials.
#define ACCESS_KEY_ID @"CHANGE ME"
#define SECRET_KEY @"CHANGE ME"
我担心的是,这些可以由坚定的黑客提取.有没有办法在应用程序中安全地包含API密钥?
我看到的一个选项是将我自己的服务器作为中间人:应用程序与我的服务器对话,我的服务器与S3对话.我可以看到这样做的价值,但仍然存在一个问题:我是否允许应用程序在我的服务器上进行API调用而不进行任何类型的身份验证?在应用程序中包含我自己的API密钥与包含AWS API密钥的问题相同.
有几个凭据管理选项可以帮助您避免在应用程序中嵌入凭据。第一个是 Web Identity Federation,它允许用户通过 Facebook、Google 或 Login With Amazon 登录您的应用程序。另一种选择是使用令牌自动售货机,它是一个向您的应用程序分发临时凭证的服务器组件。
AWS 移动开发博客上有一个高级概述,其中包含指向相关文档和代码示例的指针:http://mobile.awsblog.com/post/Tx3UKF4SV4V0LV3/Announcing-Web-Identity-Federation
| 归档时间: |
|
| 查看次数: |
1454 次 |
| 最近记录: |