Leanplum api密钥暴露在客户端javascript上?

Posted

技术标签:

【中文标题】Leanplum api密钥暴露在客户端javascript上?【英文标题】:Leanplum api keys exposed on client side javascript? 【发布时间】:2018-06-19 14:58:23 【问题描述】:

我正在构建 Web 应用程序,并且我正在使用 leanplum 进行推送通知和消息传递。 Leanplum 提供了这样的 api 密钥 key='absc......' app_id ='prod_abc.....' 在客户端浏览器上加载的客户端javascript文件上公开这两个键是否可以保存?公开这些密钥可能会产生什么影响?

【问题讨论】:

【参考方案1】:

Leanplum 具有生产密钥和开发密钥。

使用生产密钥,您可以发送 API 请求,例如 Track。假设攻击者知道用户 ID,攻击者可以向服务器发送垃圾,但仅此而已。

使用开发密钥,您可以连接到套接字并更新应用内消息模板和其他配置内容。

所以在生产中始终使用生产密钥!

【讨论】:

所以开发密钥不应该暴露在客户端javascript上吗?

以上是关于Leanplum api密钥暴露在客户端javascript上?的主要内容,如果未能解决你的问题,请参考以下文章

Api密钥暴露在Appengine的日志中

如何在集成到 android 应用程序的leanplum A/B 测试中对用户集进行分组?

Oauth 2.0:客户端 ID 和客户端密码暴露,这是一个安全问题吗?

云产品意外暴露用户的TLS证书密钥;JDK 11 已进入候选发布阶段

开源反向代理 Traefik 暴露用户的 TLS 证书密钥

非对称加密