【发布时间】:2019-05-01 22:01:37
【问题描述】:
我的 Samsung Gear(Tizen 2.4,Web 应用)应用程序使用了几个受秘密访问令牌保护的付费 API。
目前我只是将这些标记放在一个 js 文件中,这感觉不是一种存储敏感信息的安全方式。
推荐的存储此类信息的方式是什么。
但我认为手表用户可以访问它?这正是我试图避免的。
在配置文件中,我可以设置一些首选项,然后我可以使用首选项 API 获取这些首选项。这安全吗?或者这些信息也可以提取?
我想知道存储敏感应用程序信息(如用户名、密码、令牌、密钥...)的最安全方法是放入设备中,而手表用户绝对不能访问这些信息应用程序。还是保证编译的WGT文件中的代码受到保护?
【问题讨论】:
-
如果您关心安全性,请从您的页面调用端点到您自己的服务器,并让您的服务器向付费 api 发出 api 请求。不要向用户公开您的访问令牌。
-
是的,我已经考虑过了。由于这些 API 是非常需要的,我将不得不添加我自己的安全性以及时间敏感令牌,该令牌将在几分钟后过期。基本上是带有一些盐值的散列圆形时间戳。阻止恶意用户通过我自己的服务器滥用 API。这样一来,大部分攻击向量都被覆盖了。但是,我仍然必须能够安全地存储该盐值才能 100% 安全。
标签: javascript tizen tizen-web-app samsung-galaxy-gear