iOSアプリケーションのクラウドにAPIキーを保存する

Question

クラウドにサードパーティのサービス用のAPIキーを格納する方法を見つけることを試みています（たとえば、Twitterに接続したい、APIキーと秘密が必要です

私は具体的にはクラウドに格納し、何らかの形でそれを要求に応じて使用する方法を探しています（アプリケーション自体に埋め込みたくない）。私はAPIキーと秘密を簡単にアクセスできるようにしたくありませんが、依然としてユーザーがサードパーティのAPIリクエストを作成できるようにしたいと考えています。

私は、次のアイデアだったので、ちょうど私の頭の上から、セキュリティの専門家ではない：

1. ストア私のサーバー上のAPIキーと秘密を（例えば店舗TwitterのAPIキー/秘密）アプリキー/秘密のペア
2. ため
3. ユーザーがサードパーティのサービスへの要求をしようとするたびに、iOSアプリは、私のサーバーへのリクエストを行うにはiOSのクライアントがキー/秘密を受信すると、それは使用してOAuthの認証プロセスを開始します私のサーバからちょうど受け取ったアプリの鍵/秘密（さらにユーザーの資格情報）

httpsでキー/シークレットの値を送受信する限り、これは十分安全ですか？それとも暗号化する必要がありますか？それでも十分でしょうか？

Answer 1

クライアントのサードパーティサービスのクライアント資格情報（APIキーとシークレット）をクライアントに返すことはお勧めしません。 iOSアプリのような公開クライアントでは、これらのことを秘密にすることはできません。

サーバーにサードパーティAPIへの呼び出しを行い、その結果をアプリケーションにプロキシすることをお勧めします。そうすれば、APIキーとシークレットをサーバーに安全に保存することができます。サードパーティのAPIが変更された場合は、すべてのiOSアプリではなくサーバーコードを更新するだけです。