我最近开始学习亚马逊网络服务并尝试在它的解决方案之上构建一个游戏应用程序,在开发过程中有几件事困扰着我,
是否可以检索 STS 收到的临时凭据以手动使用它们?如果可以,我们可以手动将它们与其他 SDK 一起使用吗?
由于可以使用这些凭据连接到 dynamodb,因此可以确定用户可以访问或更新自己的数据,但它的安全性如何?如果有人反编译了android应用程序并将我更新用户分数的代码更改为手动编号,重新编译并尝试运行它[我自己从未做过,但读/听说我们可以反编译和编译并重新运行android应用程序]
是否有可能另一个应用程序在 root 手机上篡改了我的应用程序并手动将数据更改为 dynamodb?就像那里的得分助推器一样?还是 AWS 为其维护安全性?
感谢大家的阅读,请帮我解决这些问题。
【问题讨论】:
标签: android security amazon-web-services
我建议检查 AWS Mobile Hub https://console.aws.amazon.com/mobilehub。 Mobile Hub 可帮助移动开发人员加入 AWS、配置功能并创建使用这些功能的示例应用程序,然后您可以将其用作实际应用程序的构建块。
专门回答您的问题。对于移动开发人员,AWS Cognito https://console.aws.amazon.com/cognito 是出售凭证的最佳方式(Mobile Hub 将帮助您进行设置)。其他人可能会反编译您的应用程序并发送不良数据,但使用 Cognito 和强大的身份和访问管理策略 https://aws.amazon.com/iam/ 可以限制恶意用户的攻击范围。此外,如果您不想维护自己的服务器,可以使用 Lambda 函数 https://aws.amazon.com/lambda/ 和 API Gateway https://aws.amazon.com/api-gateway/ 来设置自己的反作弊系统。
我知道这很多。开始时,我会先查看 Mobile Hub,然后查看 Android 或 iOS 文档,地址为 https://docs.aws.amazon.com/mobile/sdkforandroid/developerguide/ 或 http://docs.aws.amazon.com/mobile/sdkforios/developerguide/
希望对你有帮助
【讨论】: