0

当使用像Kinvey这样的 Baas 时,纯 HTML/JavaScript 客户端不暴露应用程序密钥和秘密的解决方案可能是什么?

在示例代码https://github.com/KinveyApps/TestDrive-Angular/blob/master/index.html中,应用程序机密和密钥向客户端公开,任何人都可以看到它。

4

1 回答 1

1

简短的版本 - 你不能。

更长的版本 - 你不能。它不应该给您带来压力,因为它不会对您的设置或数据构成安全风险。

解释:

Kinvey 应用程序密钥和应用程序秘密仅允许执行少数操作,例如 - Ping 您的 Kinvey 应用程序(确认 Web/移动应用程序设置和后端连接) - 用户登录/注册(建立用户会话)

对于可以查看或修改您的设置或数据的所有其他操作(例如集合访问、业务逻辑执行、触发推送通知等),需要在应用程序机密之上的用户会话。

因此,即使您公开了应用程序机密,它也不会成为任何问题/威胁。

于 2016-02-12T12:05:51.903 回答