这几天我脑子里只有一个想法。
我使用 trigger.io 作为我们移动应用程序的平台。我们都在使用 javascript 作为 REST API 的脚本语言。
由于我们使用的是 Javascript,因此如果有人反编译应用程序并查看其源代码,则可以看到所有代码,尤其是帐户凭据(Api Key、Secret Key 等)。
我想知道 trigger.io 中是否有任何人可以回答、澄清并给我们一些具体的例子,如何使我们的应用程序免受任何恶意攻击(重放攻击、侧劫持等)和帐户滥用。
谢谢!
问问题
133 次
1 回答
3
对于在用户设备上运行的任何应用程序,密钥安全性绝对是一个大问题。
从 Trigger.io 应用程序中提取密钥可能比从已编译的本机应用程序中提取密钥稍微容易一些,因为您的 JavaScript 可能比编译后的代码更容易混淆。如果您希望在编译后的代码中使用您的密钥,那么您可以考虑使用一个仅将密钥释放到 JS 的本机插件 - http://docs.trigger.io/en/v1.4/modules/native/。
但是,我不建议这样做,因为仍然可以从编译的代码中提取密钥——即使混淆二进制文件中的密钥也不足以挫败坚定的黑客。
我们所知道的解决该问题的唯一方法是在应用程序本身中不包含任何密钥,而是让用户通过交互式身份验证步骤。一旦发生这种情况并且您知道您在与谁交谈,您的服务器就可以向应用程序释放必要的密钥。
于 2013-02-28T17:27:42.047 回答