21
Remember the MilkウェブAPIを使用してChrome拡張機能を構築しています。このAPIでメソッドを呼び出すには、APIキーと「共有秘密」キーを使用してリクエストに署名する必要があります。Chrome拡張機能でウェブサイトのAPIキーを保護する
私の懸念は、公開されている拡張機能にそれらを含めると、拡張機能を開いてこれらの値を引き出すことができるということです。これは、ユーザーのセキュリティの上昇をもたらすかもしれないし、そうでないかもしれないが、彼は確かに私のAPIキーを使用/乱用し、おそらくそれを取り消すことができる。
これは私が気にするべきことですか?公開されたJavaScriptアプリケーションでこの種の情報を保護するためのベストプラクティスはありますか?
これはこの問題の最適な解決策になるのではないかと心配です。無料でシンプルなプラグインをサポートするWebサービスを作成することは間違いありません。コンパイルされたネイティブのアプリケーションのためのさらに別の勝利... –
Yup。この理由から、私たちは基本的にJSベースの認証をAPIで禁止しています。もちろん、誰かがあなたのWebサービスへのリクエストを偽造することはまだ可能です...! – Graham
@JoshEarlコンパイルされたネイティブアプリにもAPIキーがあり、チャールズ/フィドラーなどのSSLスニファを使用してそれらを抽出することは可能です。ブラウザJSはそれをより簡単にします。 – mikemaccana