5
我正在使用自定義授權方法處理以API爲中心的Web應用程序,該方法包括基於請求方法,URL,參數,公開API密鑰並由專用API密鑰編碼。這在服務器端工作正常,但在客戶端,私有API密鑰(和授權方法)將會受到攻擊。我花了最後一個小時左右的時間尋找一個很好的方法來保護這個API密鑰,我能找到的最好方法是通過我的服務器進行代理,但我仍然無法確定100%。保護客戶端(JavaScript,Android,iOS等)上的API密鑰
首先,我應該擔心嗎?我想在我的Web應用程序中將安全性設置爲優先級,但任何將修改用戶帳戶的操作都需要一個臨時的加密標記來授權請求(除了HMAC散列)。
我從代理的理解是,你會向你的服務器發出請求,然後用私鑰加密並返回信息..但是服務器如何驗證請求是否來自具有有效API的源鍵?
任何人都可以提供任何見解,我應該做什麼?我覺得這可能是任何客戶端代碼(包括JavaScript,iOS和Android)的潛在漏洞。
請[不要在您的帖子中使用簽名或標語](http://stackoverflow.com/faq#signatures)。 – meagar
私鑰以何種方式易受攻擊?你必須把鑰匙給客戶或它不會工作...... – dandavis
目前,客戶只會是我的官方應用程序(網絡和手機)。但私鑰和授權方法將在JavaScript源代碼中可見,以便在網站上進行任何AJAX調用。 – Sam