2

我正在使用 amazon S3 提供 IAP 内容。

是否有一种“安全”的方式将 secretAccessKey 存储在我的应用程序中,这样黑客就无法使用它来获取文件?

4

2 回答 2

2

做到这一点的最好方法是根本不提供正常的秘密访问密钥。

首先创建一个只能访问所需内容的 IAM 用户,这样即使有人确实获得了凭据,他们也只能访问您想要的内容(例如,从特定的 S3 存储桶获取文件,但不能修改它们)

当 iOS 应用程序需要访问 S3 文件时,它会连接到您控制的 Web 服务器。该 Web 服务器使用STS生成一组凭据,这些凭据将在所需的时间后过期。这些看起来像普通的 aws 凭证(访问密钥、秘密、会话 ID),但最终会过期。

亚马逊提供了这些代币自动售货机的一些参考实现,并有一篇文章更详细地讨论了设置。

于 2012-10-15T12:18:43.120 回答
0

您是否使用钥匙串框架寻找合适的方法?iOS 的钥匙串服务任务

于 2012-10-15T08:09:58.647 回答