33

そのため、私は自分で使用するためだけの小さなアプリケーションと、おそらく Git のオープン ソース プロジェクトを開発しています。私は Envato Marketplaces の API を使用しています。ご存じのとおり、キーを必要としない操作もあれば、キーを必要とする操作もあります。

最初は PHP で Envato API 用の素敵な API ラッパーを作成しましたが、JavaScript で少し実験することにしたので、JavaScript で同じラッパーを開発しています。これまでのところ、公開操作に問題はありませんが、API キーを使用する必要があります。

私の質問は、JavaScript で API キーを保護する方法があるかどうかです。コードを見る他の人が使用できるため、プレーンテキストでそこに置くことはできません。では、API が秘密のままである実装はありますか? XHR を使用して JSON テキストファイルから取得することはできますか?

4

2 に答える 2

27

短い答え: いいえ

キーを難読化するために何をしても、それを送信してクライアントで利用できるようにする必要があるため、fx を使用してキーを抽出することができます。ファイアーバグ。

キーを秘密に保つ素晴らしい魔法の方法を考案したとしても、ある時点で実際の API リクエストを作成する必要があり、ブラウザから送信する必要があるため、攻撃者はキーを読み取ることができます。 Firebugs ネットタブからプレーンテキストで。

正しいことは、キーを必要とする API 呼び出しの周りに PHP ラッパーを作成し、Javascript からそのラッパーを呼び出すことです。

于 2012-07-13T12:31:16.947 に答える