首页   注册   登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
LeanCloud
LeanCloud
V2EX  ›  LeanCloud

如果别人通过反编译 android java code,获得了 REST 的 accessKey 和 secretKey,那怎么处理?

  •  
  •   arachide · 2014-11-28 00:43:30 +08:00 · 3545 次点击
    这是一个创建于 1789 天前的主题,其中的信息可能已经有所发展或是发生改变。
    请教
    10 回复  |  直到 2014-12-08 11:48:37 +08:00
        1
    abelyao   2014-11-28 08:07:25 +08:00 via Android
    所以大多数服务商例如 SAE / UPYUN / 微信,都可以更换 SecretKey 嘛
        2
    benjiam   2014-11-28 08:20:03 +08:00 via iPad
    问题一破解 你换key 原有的客户端怎么办 完全失效
        3
    NCE   2014-11-28 08:57:51 +08:00
    这个时候就显出OAUTH验证的优势了。。。
        4
    oott123   2014-11-28 09:33:50 +08:00 via Android
    @NCE oAuth 不是也有 ak 和 sk 嘛,被拿去做坏事也不好啊~

    再说 OAuth 是给用户鉴权用的,像 APP 的推送这类 SDK 也没办法用不是…
        5
    sampeng   2014-11-28 11:03:38 +08:00
    我的做法是放到ndk编译的so里面,然后这些key不是写死的,是用算法算出来的。
        6
    arachide   2014-11-28 11:23:35 +08:00
    @sampeng 如果客户端是网页用leancloud怎么办呢
        7
    icylogic   2014-11-28 11:23:38 +08:00 via Android
    http://kb.qiniu.com/53cy0s73 不要放key,服务端实时发 token
        8
    julyclyde   2014-11-28 11:59:01 +08:00
    @NCE 这事oauth完全显示不了任何优势
        9
    arachide   2014-11-28 13:28:51 +08:00
    @icylogic 请问这个如何将Access Key 和 Secret Key放在服务器端
        10
    hjiang   2014-12-08 11:48:37 +08:00
    LeanCloud 提供了 ACL 机制来保证数据安全性,不需要假设 AppKey 和 AppID 是保密的。
    关于   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   1893 人在线   最高记录 5043   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.3 · 22ms · UTC 16:20 · PVG 00:20 · LAX 09:20 · JFK 12:20
    ♥ Do have faith in what you're doing.