如何防止不必要的pubnub凭据使用

Question

我正在使用pubnub SDK（php / JS）并且很难理解以下内容：

在JS中，任何人都可以看到pubnub凭据。现在我并不关心谁对通道进行读写操作。但是，如何防止其他人复制我的pubnub凭据并在他们的OWN项目/网站中使用它们？

我的用户无需登录，因此我不确定如何使用PAM来阻止上述操作。

Answer 1

PubNub安全访问

  

“我的用户无需登录”

如果您愿意，可以授予永久持续的一次性令牌。您可以永久地为未经身份验证的用户提供令牌。将来你可以选择撤销令牌。您可以使用PubNub Developer Console生成令牌。

基本上，即使他们没有进行身份验证，您仍然需要为每个用户提供一个令牌。即使你不知道他们是谁，他们也必须办理你的申请。

理想情况下，每个用户都有自己的auth_key。但由于您未对身份进行身份验证，因此您可以为每个用户提供相同的 auth_key。这样，您可以随时生成新密钥，并随时撤销旧用户。

您的API密钥是公开的。这是一件好事。必须保持隐藏的唯一键是Secret Key。永远不应传输或共享密钥。您不应将密钥保存在设备，应用程序，代码或代码存储库中。您应该保密此密钥，因为它允许您授予用户访问权限。如果您的密钥泄露，请联系support@pubnub.com更改您的密钥。您也可以自己重新生成密钥。您可以授予在拥有密钥时授权用户的令牌。令牌允许在用户级别进行粒度读写访问控制。

PubNub Access Manager教程

  

一个好的开始。

从这里开始 - Access Manager Getting Started Guide - 使用PubNub Access Manager通过几个简单步骤按人，设备或频道对数据流进行细粒度访问控制。

• Access Manager provides token-based authorization allowing granular read and write access.
• JavaScript V4 Security Tutorial - Access Control

  

下图显示了具有auth_key访问权限的设备。 “客户数据中心”包含密钥。密钥用于生成auth_key令牌。

  

按照从服务器开始的步骤为您的用户生成并交换auth_key访问令牌。