如何不在纯 HTML5 客户端应用程序上公开 App 秘密和密钥

How not to expose App secret and key on a pure HTML5 client application

纯 HTML/JavaScript 客户端在使用像 Kinvey 这样的 Baas 时不暴露应用程序密钥和秘密的解决方案是什么。

在示例代码 https://github.com/KinveyApps/TestDrive-Angular/blob/master/index.html 中,应用秘密和密钥公开给客户端,任何人都可以看到。

简短版本 - 你不能。

更长的版本 - 你不能。它不会给您带来压力,因为它不会对您的设置或数据构成安全风险。

解释:

Kinvey app key 和 app secret 本身只允许少数操作,例如 - Ping 您的 Kinvey 应用程序(确认 web/mobile 应用程序设置和后端连接) - 用户 login/signup(建立用户会话)

对于可以查看或修改您的设置或数据的所有其他操作(例如收集访问、业务逻辑执行、触发推送通知等),需要基于应用程序机密的用户会话。

因此,即使您公开了应用程序机密,它也不会是 issue/threat。