我正在使用pubnub SDK(php / JS)并且很难理解以下内容:
在JS中,任何人都可以看到pubnub凭据。现在我并不关心谁对通道进行读写操作。但是,如何防止其他人复制我的pubnub凭据并在他们的OWN项目/网站中使用它们?
我的用户无需登录,因此我不确定如何使用PAM来阻止上述操作。
答案 0 :(得分:2)
“我的用户无需登录”
如果您愿意,可以授予永久持续的一次性令牌。您可以永久地为未经身份验证的用户提供令牌。将来你可以选择撤销令牌。您可以使用PubNub Developer Console生成令牌。
基本上,即使他们没有进行身份验证,您仍然需要为每个用户提供一个令牌。即使你不知道他们是谁,他们也必须办理你的申请。
理想情况下,每个用户都有自己的auth_key
。但由于您未对身份进行身份验证,因此您可以为每个用户提供相同的 auth_key
。这样,您可以随时生成新密钥,并随时撤销旧用户。
您的API密钥是公开的。这是一件好事。必须保持隐藏的唯一键是Secret Key
。永远不应传输或共享密钥。您不应将密钥保存在设备,应用程序,代码或代码存储库中。您应该保密此密钥,因为它允许您授予用户访问权限。如果您的密钥泄露,请联系support@pubnub.com更改您的密钥。您也可以自己重新生成密钥。您可以授予在拥有密钥时授权用户的令牌。令牌允许在用户级别进行粒度读写访问控制。
一个好的开始。
从这里开始 - Access Manager Getting Started Guide - 使用PubNub Access Manager通过几个简单步骤按人,设备或频道对数据流进行细粒度访问控制。
下图显示了具有
auth_key
访问权限的设备。 “客户数据中心”包含密钥。密钥用于生成auth_key
令牌。
按照从服务器开始的步骤为您的用户生成并交换
auth_key
访问令牌。