【发布时间】:2020-09-21 06:23:53
【问题描述】:
我正在编写一个与 Apple Music API 接口的应用程序,到目前为止,我的所有 API 调用都是非个性化的,例如搜索目录歌曲或艺术家。典型的流程是客户端应用程序通过点击我的服务器的“搜索”端点来搜索某些东西,然后我的服务器(存储开发人员令牌的地方)实际上会向 AM API 发出请求,然后将搜索结果传回给客户。
但是,我现在需要发出一些个性化的 API 请求,例如获取用户的播放列表。这需要 用户令牌 与开发人员令牌一起包含在请求中。问题是,要请求用户令牌,我似乎需要使用 requestUserToken,这会在设备上弹出一个提示以使用 Apple Music 授权我的应用程序,并且需要开发人员令牌作为参数。
将开发人员令牌放在客户端似乎不安全,因为它们可用于直接发出任何请求,并且恶意客户端理论上可以用它发送大量请求并导致速率限制生效.
我是否误解了此协议中的某些内容,还是我只需要承担风险并告诉我的服务器将开发人员令牌传递给客户端?
【问题讨论】:
标签: ios swift security access-token apple-music