1

来自 jsfiddle,http://jsfiddle.net/filepicker/BYF9t/

使用 api 密钥初始化文件选择器,并使用策略保护读/写操作。

filepicker.setKey('8PbzrhP9Tr2r6wPlSqzS');
filepicker.read(fpfile, {policy: policy, signature:signature}, function(contents)
    console.log(contents);  
})

filepicker.pick({policy: policy, signature:signature}, function(fpfile){
   console.log(fpfile);
});

但是我仍然不确定它是如何安全的,从某种意义上说,为什么没有人能够只使用 api 密钥并按如下方式使用它?

filepicker.pick(function(FPFile){
  console.log(FPFile.url);
});

此外,为什么没有人能够使用这些政策并从我的帐户上传/下载文件?

请帮助我理解这一点!

4

1 回答 1

2

为您的帐户启用安全性后,对 Filepicker.io API 的任何请求(无论是选择、读取等)都会被拒绝,除非它具有适当的策略和机密。

为防止人们复制您的策略并恶意使用它们,您应该设置一个适当短的到期时间以使其变得困难,并在您的端使用某种程度的指数退避或类似措施,以确保一个人不会不断地从您的策略中生成新策略。服务器。

于 2013-04-08T06:03:05.150 回答