我正在使用亚马逊S3提供IAP内容。
是否有“安全”方式将secretAccessKey存储在我的应用程序中,以便黑客无法使用它来获取文件?
答案 0 :(得分:1)
执行此操作的最佳方法是不提供正常的秘密访问密钥。
首先创建一个只能访问所需内容的IAM用户,这样即使有人确实掌握了凭据,他们也只能访问您想要的内容(例如,从特定的S3存储桶中获取文件,但不能修改它们)
当iOS应用程序需要访问S3文件时,它会连接到您控制的Web服务器。该Web服务器用户STS生成一组凭据,这些凭据将在所需的时间后过期。这些看起来像普通的aws凭证(访问密钥,秘密,会话ID),但最终会过期。
Amazon提供了这些token vending machines的一些参考实现,并且article更详细地讨论了设置。
答案 1 :(得分:0)
您是否使用Keychain框架寻找合适的方法? Keychain Services Tasks for iOS