Как предотвратить угон идентификатора here.com api id?

Я собираюсь использовать API here.com. Я создал api_id / api_code для нового приложения. Эти два значения должны быть добавлены к каждому запросу к API и, если они используются в веб-приложении, видны всем.

Код id + не привязан к URL-адресу, как ключи Google API, поэтому я не вижу никакого метода, который бы запретил кому-либо взять мой код id + и использовать его, скажем, для очистки плиток. Поскольку API стоит денег, мне интересно, как я могу этого предотвратить?

http://developer.here.com/faqs ничего не говорит о защите ключей, а here.com - нет. Похоже, я действительно хочу поговорить с разработчиками, поэтому я надеюсь, что этот мета-вопрос не будет отклонен ...


here-api
person Searle    schedule 28.04.2015    source источник
comment
Вы не можете деактивировать app_id в любое время? Таким образом, вы могли бы сделать это, если бы к нему обратились злонамеренно, чтобы остановить запросы. Если вы будете делать запросы через https, это также сделает его более безопасным.   -  person Callum    schedule 28.04.2015
comment
Конечно, но это слишком поздно. https не помогает, app_id + app_code по сути находится в исходном коде.   -  person Searle    schedule 28.04.2015
comment
Если ваш код представляет собой веб-приложение на сервере, как пользователь сможет увидеть ваши токены? Ваш исходный код общедоступен или что-то в этом роде?   -  person Callum    schedule 28.04.2015
comment
Это не на стороне сервера, это код на стороне клиента, получение тайлов с тайлового сервера.   -  person Searle    schedule 28.04.2015
comment
Если App_Id / Code необходимо скрыть в javascript, попробуйте Javascript Obfuscator. Если есть HTTP-запросы на получение, но внутри для вызовов API, тогда детали могут быть по-прежнему уязвимы. API-интерфейс Here должен работать над реализацией дополнительной проверки, которая ограничит использование учетных данных из домена.   -  person Jithin Krishnan    schedule 29.04.2015
comment
Если это клиентская сторона, вы можете использовать любой браузер, чтобы просмотреть GET-запрос к серверу и посмотреть идентификаторы в заголовках. Мое единственное предложение - создать апплет на стороне сервера, который может делать запросы за вас с заголовками, а вы вызываете свой апплет из клиента.   -  person Callum    schedule 29.04.2015
comment
@Spork: вызовы API выполняются JS-библиотекой here.com. Насколько я понимаю, проксирование звонков запрещено даже ToS. Я очень ценю ваши предложения, но нет способа скрыть пару идентификатор / код, и я действительно не ищу обходной путь.   -  person Searle    schedule 30.04.2015
comment
@Jithin Krishnan: Звонки можно просто увидеть, заглянув в сетевую панель вашего любимого браузера. Так что скрытие идентификатора / кода не вариант. Я на самом деле не ищу обходной путь, должен быть какой-то официальный способ, иначе это было бы ошибкой дизайна API. Я не могу это представить.   -  person Searle    schedule 30.04.2015

Ответы (1)


arrow_upward
0
arrow_downward

На панели HERE Developer Dashboard, когда вы переходите к проекту и просматриваете свои токены JavaScript / REST, есть флажок с надписью «Защищать учетные данные приложения для определенного домена».

https://developer.here.com/projects

Блокируя токены для определенного домена или набора доменов, они будут защищены от злонамеренных пользователей. Если кто-то украдет ваши токены, он не сможет их использовать, потому что запросы должны исходить из вашего домена.

Надеюсь, это поможет.

Лучший,

person Nic Raboy    schedule 21.09.2018
comment
Я предполагаю, что эта функция была добавлена ​​один раз за последние 3 года, так как я не помню, чтобы видел этот флажок. Так что спасибо за обновление! - person Searle; 24.09.2018
comment
@Nic Raboy, который мне не подходит. Я использую план Freemium, и я добавил домен для защиты учетных данных приложения для определенного домена в разделе JavaScript / REST, но я могу перенести свой код на хост с совершенно другим доменом, и он работает. Я что-то упускаю? - person digijay; 29.11.2018