4

私は現在、サードパーティのWeb APIに基づいてデスクトップアプリケーションを開発しており、それらのプログラムに登録して、その見返りに2つのアクセスキーを与えられています。

ただし、これらのキーをソースに文字列として貼り付けると、誰でもリポジトリの内容をプルバックして、非常に簡単に見つけることができます。

これを防ぐ方法についての私の最善の考えは、それらを個別にクラスファイルにコンパイルし、難読化してから、それを使用して、少なくともソースにプレーンテキストが含まれないようにすることです。しかし、私が見逃している、より良い、より受け入れられている、または一般的に使用されている方法はありますか?私は完全で完全なセキュリティを求めているわけではありませんが、少なくとも、オープンソース環境を合理的に提供できる限り、キーの抽出を困難にしたいと考えています。

4

1 に答える 1

10

おそらく、アクセス キーをソース コード内の別のファイルとしてプラグインすることをお勧めします。これは、パブリック リポジトリへのプッシュを避けるためです (または、アプリケーションを使用したい人がプラグインする必要があるように、実際のキーを削除してプッシュします)。独自のキーで)。そうすれば、秘密鍵自体を除いてすべてがオープン ソースになります。

TL;DR: キーの公開を実際に回避する唯一の方法は、キーをパブリック ソース リポジトリの一部にしないことです。それ以外の場合は、他の人が簡単に抽出できることを意味します。

于 2013-01-09T12:28:23.450 に答える