我正在构建一个将报告发送到服务器的Android应用程序。这些报告是存储在Amazon S3上的普通JSON文件。 Amazon用户仅对特定S3存储桶具有PutObject权限。
documentation表示我们应该使用令牌自动售货机机制而不是应用程序中的硬编码密钥。
我看不出这种方法的优点。 我知道黑客可以反编译我的应用程序以找到密钥。但他唯一的选择是将文件发送到存储桶,没有别的(没有文件列表,没有文件检索)。
如果我使用匿名TVM,则流程为:
黑客还可以致电TVM服务器请求无限令牌并将文件发送到我的存储桶。它似乎没有解决这个问题。
使用TVM的真正优势是什么?
答案 0 :(得分:0)
您可以为每个移动UID附加不同的授权,从而更好地控制您允许用户访问的内容。您还可以使用策略控制TVM对AWS的访问量。您也可以在任何时间停止它。如果他们获得了您的密钥,您将必须禁用整个帐户。如果你没问题,你可能不需要使用TVM。