例如,我使用 Rollbar 来跟踪和记录错误,他们的 JS 文档告诉我在 JS 代码中输入访问令牌。检查源的任何人都可以找到此令牌并使用它调用 Rollbar。
// https://docs.rollbar.com/docs/angular
const rollbarConfig = {
accessToken: 'POST_CLIENT_ITEM_TOKEN',
captureUncaught: true,
captureUnhandledRejections: true,
};
用于分析的 Mixpanel 也是如此。我相信谷歌分析有一个白名单域设置,这似乎已经足够好了。
作为一般解决方案,我应该如何保护这些客户端库访问令牌和密钥?
通过 API 调用将所有内容移动到服务器端是一个巨大的痛苦,但即使我这样做,它也只能通过 JWT 令牌得到保护,所以这些令牌在到期之前都是有效的,这也不是一个真正的解决方案。