在這幾天之間,我只想到了一個想法。Trigger.io特別針對REST API的安全
我使用trigger.io作爲我們爲我們的移動應用平臺。我們都使用JavaScript作爲REST API的腳本語言。
由於我們使用Javascript,所有的代碼和特別帳戶憑證(API密鑰,密鑰,等等),如果有人反編譯的應用程序,並查看它的源代碼就可以看出。
我想知道是否有任何來自trigger.io的答案可以回答,澄清並給我們一些具體的例子讓我們的應用程序如何從任何惡意攻擊(重放攻擊,側頂等)和帳戶濫用安全。
謝謝!
主要安全肯定是與該用戶的設備上運行任何應用程序是一個大問題。
拔鑰匙了Trigger.io應用程序可能會略高於拔鑰匙了編譯本機應用程序更容易,因爲你的JavaScript可能會比編譯的代碼少混淆。如果你希望在編譯代碼中使用你的密鑰,那麼你可以考慮一個本地插件,它只是釋放JS的密鑰 - http://docs.trigger.io/en/v1.4/modules/native/。
不過,我不會建議,因爲它仍然可以拉密鑰進行編譯的代碼 - 甚至混淆二進制鍵不足以挫敗一個意志堅定的黑客。
解決該問題的唯一方法,我們知道的是不包括在應用程序本身的任何密鑰,但讓用戶去通過交互式認證步驟。一旦發生這種情況,你知道你在和誰通話,你的服務器可以釋放必要的密鑰給應用程序。