如何在沒有安全漏洞的情況下使用 AWS S3 憑證?
[英]How to use AWS S3 credentials without security vulnerability?
問題描述
我的 Android 應用程序使用 AWS S3 存儲圖像。 下面是我正在使用的版本詳細信息。
def aws_version = "2.16.+"
implementation "com.amazonaws:aws-android-sdk-s3:$aws_version"
implementation ("com.amazonaws:aws-android-sdk-mobile-client:$aws_version") { transitive = true }
目前,我通過 BuildConfig 變量訪問密鑰和訪問密鑰的方式。 我在這里找到了這個方法。
BasicAWSCredentials cred = new BasicAWSCredentials(BuildConfig.key, BuildConfig.secret);//Access Key and Secret Key
AmazonS3Client client = new AmazonS3Client(cred, Region.getRegion(Regions.AP_SOUTH_1));
AwsUploadFile.Companion.uploadFile(this, client, file, shopName, transferListener);
現在我收到了郵件,上面寫着
您的應用程序公開 Amazon Web Services 憑證。
現在我想知道我做錯了什么。 存儲 AWS S3 密鑰和訪問密鑰的正確方法是什么?
可以幫助您回答這個問題的重要一點,
- 一旦我將密鑰和訪問密鑰用作硬編碼字符串並將這些更改推送到我們的私有 git 項目。 在意識到我的錯誤后,我改變了實現,現在使用 BuildConfig 方法,如上所述。 我不知道這是否可能是公開憑據的情況。
1 個解決方案
解決方案1
2 已采納 2020-09-09 09:17:54
有幾種方法:
- AWS 安全令牌服務 (AWS STS)
- AWS Cognito
- AWS 放大
- Android 密鑰商店
以下是有關在移動應用程序中使用 AWS 憑證進行身份驗證的官方文檔:使用令牌自動售貨機對 AWS 移動應用程序的用戶進行身份驗證
如何從AWS S3顯示圖像而不下載到本地存儲中
[英]How to display images from AWS S3 without downloading in the local storage
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.