APIサーバーを呼び出すモバイルアプリケーションを開発しているとします。APIサーバーはAPIキーによって保護されています。
APIキーは盗まれる可能性があるため、モバイルアプリケーション内にハードコーディングできません。
APIキーを保護するにはどうすればよいですか?
その問題は通常どのように解決されますか?
(保護しようとしているAPIキーは、所有していないAPIサービス用であるようです。)
1つのアプローチは、認証サーバーを使用することです。プライベートAPIキーは認証サーバーに保持され、有効なログイン後にのみ共有されます。
では、これはどのように機能しますか?
アーキテクチャ的には、2つの異なるサーバーを残す別個の認証サーバーが必要になります。
使用するためにプライベートAPIキーが必要な一部のAPIキーサーバー
認証サーバー(ユーザーのログインを確認し、プライベートAPIキーを交換するために使用されます)
2番目のアプローチは、パススルーサーバーを使用することです。このアプローチでは、プライベートAPIキーが共有されることはありません。パススルーサーバーに認証を追加することは可能ですが、必須ではありません。
では、これはどのように機能しますか?
この場合、パススルーサーバーを所有しているため、APIキーを共有する必要はなく、ユーザー認証はオプションです。
この記事はインターネットから収集されたものであり、転載の際にはソースを示してください。
侵害の場合は、連絡してください[email protected]
コメントを追加