config.php文件的安全性和Facebook祕密密鑰

Question

一些如何在另一家開發商越來越我們的應用程序的祕密，並用它來進行HTTPS/API Banned請求禁止我們的用戶從我們的應用程序。

1. 他怎麼又是讓密鑰，我們只有在它位於服務器上我們的config.php文件中列出。我們無法在服務器上發現任何違規行爲，並且config.php不可讀或任何地方顯示。

2. 將被Facebook提供的白名單設置，從禁止阻止黑客/開發者或者是它只是阻止更改應用程序的設置？

Answer 1

我建議您重置您目前使用的應用程序密鑰，以便您可以生成新密碼並限制破壞程度。

您可以利用根據documentation這表明

我們也使您可以限制你的API調用來從一組白名單服務器的Server IP Whitelist。您可以通過轉到應用程序面板中開發者設置的高級部分來設置白名單，並設置「服務器白名單」字段。

並且您可能會進一步利用Update Settings IP Whitelist來限制對應用設置的更改。引用自documentation，

我們允許您指定必須用於更新應用設置的IP地址白名單。這有助於確保只有使用公司IP地址的開發人員才能更新設置，從而防止攻擊。