最近,我正在观看来自Google I / O 2011的视频。在该会话的一部分中,发言人指出开发人员应将API密钥(例如google地点等)保留在自己的服务器端而不是客户端。避免直接连接。听起来很安全但是为了做这样的事情,开发人员也需要自己的服务器端和Web服务,这有时是不可能的。现在,我更聪明的是他们在客户端应用程序中使用API密钥的任何安全方法(可能是加密)?
答案 0 :(得分:1)
我想这真的取决于API。我使用的大多数API都是利用从应用程序Web服务器到API服务器的调用。所以在那种情况下,客户端永远不会看到密钥;它只是他们看到的返回内容。
另一方面,如果它确实是API调用的客户端,那么加密它们密钥实际上是没有意义的,因为它必须在可以进行调用之前进行解密。在这种情况下,用户可以轻松地欺骗它。