【发布时间】:2014-08-20 20:37:29
【问题描述】:
我正在使用 Kloudless 在客户端实现高效的文件上传。
但是,我的应用目前公开了我的 Kloudless API 密钥和帐户 ID——它们将在客户端公开。
除了设置受信任的域之外,现在有什么方法可以保护我的密钥,同时仍能实现高效的文件上传?
【问题讨论】:
标签: security api-key kloudless
【发布时间】:2014-08-20 20:37:29
【问题描述】:
您绝对正确,Kloudless API 密钥应保密且不应包含在客户端。相反,我会改用用户的Account Key。帐户密钥的功能与 API 密钥相同,但仅提供对已连接帐户的访问权限。
以下是有关使用 File Explorer 的帐户密钥的一些信息:
通过将“account_key”option 设置为 true,可以从文件资源管理器返回帐户密钥。它们仅返回到受信任域(通过开发人员门户添加)。一旦您将它们放在客户端,您就可以使用它们发出请求。此外,他们也可以通过后端retrieved。
当您希望向回访用户显示他们之前已连接的帐户时,帐户密钥也很有用。通过为用户存储帐户密钥,您可以在客户端呈现它们,并在实例化文件资源管理器时通过“密钥”选项传递它们,这将自动向用户显示相应的帐户。
【讨论】: