私はAmazonS3を使用してIAPコンテンツを提供しています。
ハッカーがファイルを取得するためにそれを使用できないように、私のアプリ内にsecretAccessKeyを保存する「安全な」方法はありますか?
質問する
197 次
2 に答える
2
これを行う最善の方法は、通常の秘密のアクセスキーをまったく提供しないことです。
まず、必要なものだけにアクセスできるIAMユーザーを作成します。これにより、誰かがクレデンシャルを取得した場合でも、必要なものだけにアクセスできます(たとえば、特定のS3バケットからファイルを取得しますが、変更はしません)。
iOSアプリがS3ファイルにアクセスする必要がある場合、iOSアプリはユーザーが制御するWebサーバーに接続します。そのWebサーバーはSTSを使用して、必要な時間が経過すると期限切れになる一連の資格情報を生成します。これらは通常のawsクレデンシャル(アクセスキー、シークレット、セッションID)のように見えますが、最終的には期限切れになります。
Amazonは、これらのトークン自動販売機のリファレンス実装をいくつか提供しており、セットアップについて詳しく説明している記事があります。
于 2012-10-15T12:18:43.120 に答える
0
キーチェーンフレームワークを使用して適切な方法を探しましたか?iOS用のキーチェーンサービスタスク
于 2012-10-15T08:09:58.647 に答える