![](/img/trans.png)
[英]HTML5 game connecting to database safely (stopping manual JavaScript by user)
[英]Connecting the HTML5 app to a database on a server *Safely*
我試圖將HTML5移動電話應用程序安全地連接到數據庫(MongoDB)。 該應用程序即將在應用程序商店中出現,沒人可以看到代碼。 我對此有幾個問題。 據我所知,有兩種方法可以做到這一點,一種方法是使用RESTful服務,另一種方法是使用數據庫驅動程序(我在使用此方法時遇到了問題,因此使用了HTTP請求方法)。 所以這是我的問題
當我使用RESTful服務連接到數據庫時,我必須包括HTTP查詢,該查詢包含API密鑰 。 我的問題:這樣使用安全嗎? 我計划將一些敏感信息存儲在數據庫中,但計划對其進行加密。 但是我不希望任何人看到我的API密鑰,因為如果看到了API密鑰,那么很容易獲得數據庫中的信息。 API KEY硬編碼在一個javascript文件中。
有沒有在javascript中使用REST API密鑰的安全方法?
最好的方法是在應用程序( 客戶端 )和數據庫( 資源服務器 )之間放置一個oAuth 2.0層。 這里的“資源所有者”是最終用戶。
您可以使用“隱式”,“資源所有者密碼憑證”或“客戶端憑證”。 還要閱讀有關“ 訪問令牌 ”和“ 刷新令牌 ”的信息。
抽象協議流程 (從此處復制)
+--------+ +---------------+
| |--(A)- Authorization Request ->| Resource |
| | | Owner |
| |<-(B)-- Authorization Grant ---| |
| | +---------------+
| |
| | +---------------+
| |--(C)-- Authorization Grant -->| Authorization |
| Client | | Server |
| |<-(D)----- Access Token -------| |
| | +---------------+
| |
| | +---------------+
| |--(E)----- Access Token ------>| Resource |
| | | Server |
| |<-(F)--- Protected Resource ---| |
+--------+ +---------------+
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.