不想在移动设备、设计模式上存储秘密的 Facebook/Twitter API 密钥？

Question

我有一个问题，就是让我的秘密 API 密钥存在于世界各地潜在的数千台移动设备上。它很容易被黑客破坏并用于恶意目的。

那么我有哪些选择呢？ 我猜想一个私人服务器拥有秘密 API 密钥和一个封装所有方法调用的 Web 服务。因此，移动设备不必拥有密钥并执行以下操作：
列出<朋友> = service.GetFriends(secretKey);

如果我的秘密 API 密钥被泄露并用于垃圾邮件/滥用目的，我必须关闭所有用户的使用，让我的应用程序死在大海中。

所以我的想法是我可以使用移动设备唯一的设备 ID 并执行以下操作：
列出<朋友> = myService.GetFriends(deviceID);

当然，恶意黑客可以使用虚假的 deviceID 调用我的 Web 服务，但至少我现在可以控制将 deviceID 列入黑名单。它还引入了一些潜在的带宽问题，但这是一个不太值得关注的问题。

真正的 PKI 可能是不可能的，因为目标设备在当前版本中不处理 HTTP 客户端证书。

还有其他好主意吗？

Answer 1

您不想将 API 密钥发布到 Facebook 或 Twitter，即使在客户端中进行了混淆。

您的直觉是正确的，可以通过您控制的服务进行代理。限制对该服务的访问取决于您 - 未经授权的使用风险有多大？设备 ID 是设备/用户身份的一个很好的线索，但可以伪造。

您可以使用更强大的身份验证方法（短信身份验证等）来建立长期会话或设备密钥，但是这些方法更加复杂，并且会给最终用户带来更高的负担。

TL;DR

保护您的平台 API 密钥。确保您自己的 API 足以满足您的需求。