月度归档:2019年01月

第三方服务前端数据安全校验

坐在腾大写博客,听到了身边的人在讨论前端数据安全校验的方案。

他们需要提供 H5 的SDK ,既然运行在前端,那么应用的 Secret 和 Key 就有可能暴露在浏览器里,如何确保 Secret 和 Key 的安全呢?

一个比较主流的方案就是使用白名单限制。每一个应用绑定特定的几个域名,只有白名单里的域名可以请求服务。

我还想到了另外一个案例。我自己比较喜欢使用 Algolia 提供的搜索服务,在 Algolia 中,区分 Master Key 和 Search Only Key。Search Only Key 只能用于数据查询,而 Master Key 可以用来添加数据。

如果是这样的话,或许可以比较好的处理。