5
私は、APIを中心としたカスタム認証メソッドを使用して、リクエストメソッド、URL、params、パブリックAPIキーであり、プライベートAPIキーでエンコードされます。これはサーバー側で正常に動作しますが、クライアント側でプライベートAPIキー(および認証方法)は脆弱です。私は最後の1時間かそこらでこのAPIキーを保護するための良い方法を探していました。私が見つけた最良の方法は私のサーバーをプロキシすることですが、これについてはまだ100%は分かりません。クライアント(JavaScript、Android、iOSなど)のAPIキーを保護する
まず、私は心配する必要がありますか? Webアプリケーションでセキュリティを最優先にしたいと思っていますが、ユーザーのアカウントの変更を処理するものは、(HMACハッシュに加えて)要求を承認するために一時的に暗号化されたトークンが必要です。
プロキシからの私の理解は、サーバーに要求を行い、秘密鍵で暗号化して情報を返します。しかし、サーバーは、要求が有効なAPIを持つソースからのものであることをどのように検証するのでしょうかキー?
私は何をすべきかについて誰にでも洞察力を提供できますか? JavaScript、iOS、Androidなどのクライアント側のコードでこの脆弱性が潜在的に発生する可能性があるようです。
[あなたの投稿にシグネチャやタグラインを使用しないでください](http://stackoverflow.com/faq#signatures)。 – meagar
秘密鍵はどのように脆弱ですか?あなたはクライアントに鍵を渡さなければなりません。それともうまくいきません... – dandavis
現在、クライアントは私の公式のアプリケーション(ウェブとモバイル)だけです。しかし、サイト上でAJAX呼び出しが可能になるには、JavaScriptソースに秘密鍵と認証方法が表示されます。 – Sam