1

オンラインAPIと通信するために秘密鍵を必要とするAdobeAirアプリを配信するためのベストプラクティスは何ですか?

Adobe Airアプリは、完全なソースコードとともにユーザーに配信されているように見えるため、ソース内にキーを保存することは非常に悪い考えです。サーバーからキーをダウンロードするという提案をいくつか読みましたが、ダウンロードを許可するURLをソースコードに保存する必要があるため、同じ問題が発生します。また、暗号化されたローカルストレージに保存するという提案も、私には意味がありません。何とかして秘密鍵を取得する必要があるからです。

4

1 に答える 1

-1

これは、すべてをリバースエンジニアリングできるため(実行可能ファイル、ILリーダーなどの解凍)、どのアプリケーションでも秘密鍵を配信するという世界的な問題だと思います。

何をしても、クライアントアプリケーションが何らかの方法で秘密鍵を「知る」必要がある場合、ユーザーは秘密鍵を知ることができます。

仮定して:

  1. サードパーティのWebサービス(「サービス」)に依存する製品(「クライアントアプリケーション」)を提供します。
  2. あなたの会社には、サービスを使用するための秘密鍵(「会社鍵」)が1つだけあります。
  3. 会社の鍵は決して​​公開してはなりません(悪用の可能性があるため)
  4. クライアントアプリケーションによって保持または送信されるすべての情報が公開されます

解決策は、プロキシを使用することです。

  1. プロキシはサービスのAPIを実装します
  2. クライアントアプリケーションはプロキシに接続します
  3. プロキシは会社のキーを使用してサービスに接続します
  4. プロキシは、クライアントからサービスに、またはその逆にすべての呼び出しを委任します。
于 2010-04-23T14:07:05.610 に答える