如果别人通过反编译 android java code，获得了 REST 的 accessKey 和 secretKey，那怎么处理？

2014-11-28 00:43:30 +08:00

arachide

请教

4520 次点击

所在节点

10 条回复

abelyao

2014-11-28 08:07:25 +08:00

所以大多数服务商例如 SAE / UPYUN / 微信，都可以更换 SecretKey 嘛

benjiam

2014-11-28 08:20:03 +08:00

问题一破解你换key 原有的客户端怎么办完全失效

NCE

2014-11-28 08:57:51 +08:00

这个时候就显出OAUTH验证的优势了。。。

oott123

2014-11-28 09:33:50 +08:00

@NCE oAuth 不是也有 ak 和 sk 嘛，被拿去做坏事也不好啊~

再说 OAuth 是给用户鉴权用的，像 APP 的推送这类 SDK 也没办法用不是…

sampeng

2014-11-28 11:03:38 +08:00

我的做法是放到ndk编译的so里面，然后这些key不是写死的，是用算法算出来的。

arachide

2014-11-28 11:23:35 +08:00

@sampeng 如果客户端是网页用leancloud怎么办呢

icylogic

2014-11-28 11:23:38 +08:00

http://kb.qiniu.com/53cy0s73 不要放key，服务端实时发 token

julyclyde

2014-11-28 11:59:01 +08:00

@NCE 这事oauth完全显示不了任何优势

arachide

2014-11-28 13:28:51 +08:00

@icylogic 请问这个如何将Access Key 和 Secret Key放在服务器端

hjiang

2014-12-08 11:48:37 +08:00

LeanCloud 提供了 ACL 机制来保证数据安全性，不需要假设 AppKey 和 AppID 是保密的。

第 1 页／共 1 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.