Leanplum api密钥暴露在客户端javascript上?

Posted

技术标签:

【中文标题】Leanplum api密钥暴露在客户端javascript上?【英文标题】:Leanplum api keys exposed on client side javascript? 【发布时间】:2018-06-19 14:58:23 【问题描述】:

我正在构建 Web 应用程序,并且我正在使用 leanplum 进行推送通知和消息传递。 Leanplum 提供了这样的 api 密钥 key='absc......' app_id ='prod_abc.....' 在客户端浏览器上加载的客户端javascript文件上公开这两个键是否可以保存?公开这些密钥可能会产生什么影响?

【问题讨论】:

【参考方案1】:

Leanplum 具有生产密钥和开发密钥。

使用生产密钥,您可以发送 API 请求,例如 Track。假设攻击者知道用户 ID,攻击者可以向服务器发送垃圾,但仅此而已。

使用开发密钥,您可以连接到套接字并更新应用内消息模板和其他配置内容。

所以在生产中始终使用生产密钥!

【讨论】:

所以开发密钥不应该暴露在客户端javascript上吗?

以上是关于Leanplum api密钥暴露在客户端javascript上?的主要内容,如果未能解决你的问题,请参考以下文章

有没有办法保护前端页面上的 API 密钥?

为啥令牌认证比基于 API 密钥的认证更安全?

配置错误的Django应用程序可暴露秘密API密钥和数据库密码

云产品意外暴露用户的TLS证书密钥;JDK 11 已进入候选发布阶段

Keycloak 客户端设置,SAML 私钥暴露

如何在客户端二进制文件中保留敏感信息?