我在离子应用程序中使用adjust和firebase,但是如果我提取APK / IPA,则这些集成和其他集成的应用程序秘密都会显示在我应用程序的js代码中。
我如何保持凭据安全,并将其与此类混合应用程序的APK / IPA打包在一起?
答案 0 :(得分:1)
这是一个有趣的问题,很高兴您问这个问题:)
对于Firebase设置,它们是秘密的,但不是秘密秘密的。它们只是一个起点。除非用户还使用他们的密码登录,否则将无法进行任何操作,密码使用私钥进行哈希处理然后发送出去。
这证明该人足够了解自己,将其标识为用户。
然后在服务器端,您有一条规则说:“对于已将自己标识为用户X的人,他们有权执行Y”
如果有人获得了您的密码,那么您所面临的风险与您永远被暴露的风险相同。
您还可以在Google Cloud管理面板中通过应用程序包ID,主机名,IP地址来限制Firebase帐户。
至于其他东西,例如Adjust,它们有相同的解决方案。 API密钥足以让您阅读信息,或者如果它具有强大的访问级别,那么通常会有某种身份验证/帐户链接过程,以便您可以使用其他API进行证明。
如果没有,则不能将其放在那里,您需要创建自己的代理。 Firebase支持云功能(也称为无服务器),因此您可以运行仅由已登录用户访问的代码段,然后将该信息作为代理返回给客户端。