最近、私はGoogle I/O 2011からビデオを見ていました。そのセッションの一部で、スピーカーは、APIキー(Googleの場所など)を自分のサーバー側に保存する必要があると指摘しました直接接続を避けてください。かなり安全だとは言えますが、そのようなことをする開発者は、独自のサーバー側とWebサービスを必要とします。さて、私はクライアントアプリケーション(おそらく暗号化)でAPIキーを使用する彼らの任意の安全なアプローチですか?APIキーとセキュリティ
0
A
答えて
1
本当にAPIに依存していると思います。私が扱ったほとんどのAPIは、アプリケーションWebサーバーからAPIサーバーへの呼び出しを利用しています。その場合、クライアントはキーを見ることはできません。彼らが返す内容だけです。
一方、実際にAPI呼び出しのクライアントである場合は、呼び出しを行う前に暗号化を解除する必要があるため、キーを暗号化することは実際にはありません。その場合、ユーザーは簡単に偽装することができます。
+0
私はあなたの要点を見ていますが、いくつかのAPIは、サーバーからのリクエスト(google placeなど)をしたいときや、独自のサービスを使ってリクエストを処理したくないクライアントアプリケーションとメインサーバー(良いアプローチではありません)では、そのキーをアプリケーションのどこかに保存する必要があります。しかし、私はハッカー(!)によるあなたのキーへのアクセスはアプリの信頼性(キーが変更された場合)と比較して大きな問題になるかもしれないと思っていますが、それについてはまだ考えています。 – arfo
関連する問題
- 1. PHP - Paypal APIフォームとセキュリティ
- 2. Apiキーとドメイン
- 3. Web Apiのセキュリティ
- 4. WCF Web APIセキュリティ
- 5. Firebase - APIキーとは
- 6. Datastore Remote APIのセキュリティ?
- 7. レジストリ - キーの作成 - セキュリティ
- 8. Youtbe API - OAuthとRSA-SHA1セキュリティ証明書
- 9. ストライプ:パブリッシュ可能なAPIキーとシークレットAPIキーの検証
- 10. REST WebサービスとAPIキー
- 11. FacebookアプリAPIキーとUIActivityViewController
- 12. ASP.NET Web Api - クエリーストリング値とAPIセキュリティからの認証
- 13. APIのセキュリティ実装のPHP
- 14. 下位APIレベルのAndroidセキュリティ
- 15. facebook APIログインによるセキュリティ
- 16. Google APIキー
- 17. APIキー認証とユーザー認証のベストプラクティス
- 18. GCM APIキーと送信者ID
- 19. のGoogle APIキー - キーサーバーキーとブラウザは何が
- 20. WWW :: Netflix :: APIプログラムとconsumer_secretキーを隠す
- 21. ApiキーとDjango Restフレームワーク認証トークン
- 22. Googleマップapiキー(V2)
- 23. 複数のAPIキー
- 24. MacのAndroid APIキー
- 25. AndroidからPHP APIへのセキュリティ
- 26. joomlaコンポーネントのAPIキー機能
- 27. オープンソースCMSのFacebook APIキー
- 28. Google APIキー - 新しいインターフェース
- 29. スワッシュバックル付きヘッダーのAPIキー
- 30. Googleマップの問題APIキー
独自のプロキシサービスを実行できないのはなぜですか?あなたは$ 20/moのための小さなVPSを得ることができます。 –
プロキシまたはウェブサービスを使用することが、それを行うための最善の方法であることは間違いありません。それはアプリケーションの管理や追跡のために開発者に力を与えますが、いくつかの開発者はいくつかの理由でこのアプローチに従わず、この正しい方法に従わない数百のアプリケーションがあると確信しています – arfo
20 $アンドロイドでアプリを収益化する方法を検討すると、このコストでこのようなサービスを手に入れることができるチャンスはほとんどなく、レンタル可能になる可能性があります。 – Snicolas