所以我有一个可以记录到 Rollbar 的颤振应用程序。https 请求需要一个 API 密钥(仅限于能够提交日志),这对于所有客户端都是相同的。
以某种方式保护此密钥是一种好习惯,还是应该在应用程序中硬编码?
如果它应该受到保护,处理这个问题的最佳策略是什么?
Rollbar 使用两种 API 密钥:一种用于后端服务器,另一种用于您的 Javascript 浏览器客户端。
后端令牌从不共享,应保持安全。客户端令牌可以(或自动)限定为不允许发布事件以外的任何操作。
使用开发工具可以看到客户端令牌,即使您采取措施对其进行混淆也是如此。如果您的令牌被滥用,您可以生成一个新令牌并淘汰旧令牌。令牌管理的最佳策略是允许您在需要时轻松更新它。如果您需要阻止特定的已知罪犯,Rollbar 还允许通过 IP 地址进行阻止。
这是 Rollbar 的文档:https ://help.rollbar.com/security/preventing-client-side-access-token-abuse