最近、私はGoogle I/O 2011からビデオを見ていました。そのセッションの一部で、スピーカーは、APIキー(Googleの場所など)を自分のサーバー側に保存する必要があると指摘しました直接接続を避けてください。かなり安全だとは言えますが、そのようなことをする開発者は、独自のサーバー側とWebサービスを必要とします。さて、私はクライアントアプリケーション(おそらく暗号化)でAPIキーを使用する彼らの任意の安全なアプローチですか?APIキーとセキュリティ
本当にAPIに依存していると思います。私が扱ったほとんどのAPIは、アプリケーションWebサーバーからAPIサーバーへの呼び出しを利用しています。その場合、クライアントはキーを見ることはできません。彼らが返す内容だけです。
一方、実際にAPI呼び出しのクライアントである場合は、呼び出しを行う前に暗号化を解除する必要があるため、キーを暗号化することは実際にはありません。その場合、ユーザーは簡単に偽装することができます。
私はあなたの要点を見ていますが、いくつかのAPIは、サーバーからのリクエスト(google placeなど)をしたいときや、独自のサービスを使ってリクエストを処理したくないクライアントアプリケーションとメインサーバー(良いアプローチではありません)では、そのキーをアプリケーションのどこかに保存する必要があります。しかし、私はハッカー(!)によるあなたのキーへのアクセスはアプリの信頼性(キーが変更された場合)と比較して大きな問題になるかもしれないと思っていますが、それについてはまだ考えています。 – arfo
独自のプロキシサービスを実行できないのはなぜですか?あなたは$ 20/moのための小さなVPSを得ることができます。 –
プロキシまたはウェブサービスを使用することが、それを行うための最善の方法であることは間違いありません。それはアプリケーションの管理や追跡のために開発者に力を与えますが、いくつかの開発者はいくつかの理由でこのアプローチに従わず、この正しい方法に従わない数百のアプリケーションがあると確信しています – arfo
20 $アンドロイドでアプリを収益化する方法を検討すると、このコストでこのようなサービスを手に入れることができるチャンスはほとんどなく、レンタル可能になる可能性があります。 – Snicolas