Trigger.io Security Специально для REST API

Question

У меня есть только мысль, которая приходит мне на ум между этими несколькими днями.

Я использую trigger.io как нашу платформу для нашего мобильного приложения. И мы все используем javascript как наш язык сценариев для REST API.

Поскольку мы используем Javascript, все коды и особенно учетные данные (Api Key, Secret Key и т. Д.) Можно увидеть, если кто-то декомпилирует приложение и просматривает его исходные коды.

Мне интересно, может ли кто-либо из trigger.io ответить, пояснить и дать нам некоторые конкретные примеры того, как сделать наше приложение безопасным от любых злонамеренных атак (повторные атаки, побочные атаки и т. Д.) И злоупотребление аккаунтом.

Спасибо!

Answer 1

Ключевая безопасность, безусловно, вызывает серьезную озабоченность в отношении любого приложения, которое работает на устройстве пользователя.

Вытягивание ключей из приложения Trigger.io может быть немного проще, чем вытаскивание ключей из скомпилированного родного приложения, потому что ваш JavaScript, скорее всего, будет менее запутанным, чем скомпилированный код. Если вы предпочитаете иметь свои ключи в скомпилированном коде, вы можете подумать о родном плагине, который просто отдает ключи JS - http://docs.trigger.io/en/v1.4/modules/native/.

Однако я бы не рекомендовал это, потому что по-прежнему можно вытащить секретные ключи из скомпилированного кода - даже обфускации ключей в двоичном коде недостаточно, чтобы помешать определенному хакеру.

Единственный способ избежать проблемы, о которой мы знаем, состоит в том, чтобы не включать какие-либо секретные ключи в самом приложении, а чтобы пользователь прошел интерактивный этап аутентификации. Как только это произошло, и вы знаете, с кем разговариваете, ваш сервер может выпустить необходимые ключи для приложения.