如果别人通过反编译 android java code，获得了 REST 的 accessKey 和 secretKey，那怎么处理？

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

已注册用户请登录

这是一个创建于 4039 天前的主题，其中的信息可能已经有所发展或是发生改变。

请教

10 条回复 2014-12-08 11:48:37 +08:00

abelyao

2014-11-28 08:07:25 +08:00 via Android

所以大多数服务商例如 SAE / UPYUN / 微信，都可以更换 SecretKey 嘛

benjiam

2014-11-28 08:20:03 +08:00 via iPad

问题一破解你换key 原有的客户端怎么办完全失效

NCE

2014-11-28 08:57:51 +08:00

这个时候就显出OAUTH验证的优势了。。。

oott123

2014-11-28 09:33:50 +08:00 via Android

@NCE oAuth 不是也有 ak 和 sk 嘛，被拿去做坏事也不好啊~

再说 OAuth 是给用户鉴权用的，像 APP 的推送这类 SDK 也没办法用不是…

sampeng

2014-11-28 11:03:38 +08:00

我的做法是放到ndk编译的so里面，然后这些key不是写死的，是用算法算出来的。

arachide

2014-11-28 11:23:35 +08:00

@sampeng 如果客户端是网页用leancloud怎么办呢

icylogic

2014-11-28 11:23:38 +08:00 via Android

http://kb.qiniu.com/53cy0s73 不要放key，服务端实时发 token

julyclyde

2014-11-28 11:59:01 +08:00

@NCE 这事oauth完全显示不了任何优势

arachide

2014-11-28 13:28:51 +08:00

@icylogic 请问这个如何将Access Key 和 Secret Key放在服务器端

hjiang

2014-12-08 11:48:37 +08:00

LeanCloud 提供了 ACL 机制来保证数据安全性，不需要假设 AppKey 和 AppID 是保密的。