例如,我正在使用Rollbar跟踪和记录错误,他们的JS文档告诉我在JS代码中输入访问令牌。检查源的任何人都可以找到此令牌并使用它调用Rollbar。
// https://docs.rollbar.com/docs/angular
const rollbarConfig = {
accessToken: 'POST_CLIENT_ITEM_TOKEN',
captureUncaught: true,
captureUnhandledRejections: true,
};
Mixpanel用于分析的情况也是如此。我相信Google Analytics(分析)具有一个列入白名单的域设置,这似乎已经足够了。
作为一般解决方案,我应该如何保护这些客户端库访问令牌和密钥?
通过API调用将所有内容移到服务器端是一个巨大的痛苦,但是即使我这样做,也只能通过JWT令牌进行保护,因此这些令牌将一直有效直到它们到期,这也不是真正的解决方案