我现在有一个 client 的 app,需要访问一个第三方的服务。购买后,他们提供了一个 token。 注:是 token,不是 API secrets
用这个 token,我们可以填写数据,发送给他们的服务器。然后,我们可以登录到网站里面,查看,分析我们的数据。
但现在有一个问题。javascript 原代码是能够看到的,而且我们是个 client app,其他人是可以看到这个 token 的。然后... 你们懂的。要是有恶意的人,是可以用这个 token,发一堆垃圾数据。然后,算帐是算到我们头上。 这个......
Google 了好多,貌似大家都不关注这个问题。认为 token 可以是 public 的,by design 的。
我们有一个方案,就是数据不是直接从 client app 发送,而是先发送到我们自己的搭的一个服务器上,这个服务器上收到消息后,验证是合法的,再用 token 发数据到目标服务器上。 但这样的话,多添加了一个服务器。而且,服务器需要验证客户端,这个也是问题。越搞越复杂。
大家有没有什么好办法么?
Select Language