分类
技术 随笔

第三方服务前端数据安全校验

白名单 or Master Key

坐在腾大写博客,听到了身边的人在讨论前端数据安全校验的方案。

他们需要提供 H5 的SDK ,既然运行在前端,那么应用的 Secret 和 Key 就有可能暴露在浏览器里,如何确保 Secret 和 Key 的安全呢?

一个比较主流的方案就是使用白名单限制。每一个应用绑定特定的几个域名,只有白名单里的域名可以请求服务。

我还想到了另外一个案例。我自己比较喜欢使用 Algolia 提供的搜索服务,在 Algolia 中,区分 Master Key 和 Search Only Key。Search Only Key 只能用于数据查询,而 Master Key 可以用来添加数据。

如果是这样的话,或许可以比较好的处理。

由白 宦成

Generalist, contact me at bestony#linux.com

发表评论

电子邮件地址不会被公开。 必填项已用*标注