我有一个场景,开发者正在使用SafetyNet API来保护他们的安卓应用程序。我注意到SafetyNet API密钥已经在apk文件中进行了硬编码。这是我第一次看到这种行为。这个API密钥的公开是否被认为是一个漏洞?注意:不推荐SafetyNet API,这是一个不同的问题:)
浏览 0提问于2023-01-09得票数 0
当设置对API键的限制时,Attestation停止工作:OnFailureListener是用(16)状态代码触发的
注意:带有附加限制的相同API密钥在Google中可以正常工作。更新:运行Google服务v13.0及以上的设备上的,SafetyNet认证API也支持应用程序限制的API键。
浏览 0提问于2018-04-26得票数 8
回答已采纳
目前,我正在使用我生成的google密钥,并将其放入安卓应用程序中,以访问SafetyNet和Google Maps。我计划将所有对Google的调用转移到我自己的服务器上,在服务器上存储Google密钥,而不是在客户机中。但是,我也在我的应用程序中使用了SafetyNet API,而google键需要在这个应用程序中进行调用,以获得JWS响应。所以我陷入了一个难题。
浏览 3提问于2017-06-13得票数 2
1回答
通过很多关于人们如何处理api键的帖子和文章来阅读。我认为有些人通过获得api密钥是安全的,有些则将其存储在.env文件中。示例文章我读过
目前,我正在将API密钥存储在.env文件中,因为我正在中丑化中的代码。即使通过元素也无法读取这些文件,但是现在以可读格式公开了我的所有api键。我的用例:
我的网站不需要登录,因此不需要认证。基本上,它是用于火灾分析的API键。我认为在这里创建一个来获取api<em
浏览 1提问于2020-06-05得票数 0
回答已采纳
1回答
我试图为使用Zomato的API获取JSON数据提出一个简单的get请求。我有一个API密钥,但我不知道如何在我的普通NSURLSession调用中使用它。我没有用户名或密码提供,只是一个32 char密钥。application/json" --header "user_key: xxxxxxxxxxxxxxxxxxxxxxxxxxxxx" "https://developers.zomato.com/apilet urlS
浏览 0提问于2015-11-28得票数 0
回答已采纳
1回答
我的微服务将以两种方式被调用: 1.未经认证的公共网站用户。2.通过内部用户界面的身份验证来执行管理功能。我计划使用一个API密钥从面向公众的网站进行API调用未经认证的用户。微服务将验证API请求头中的API密钥,以确定API调用是否来自受信任的源。
浏览 3提问于2021-07-23得票数 1
回答已采纳
1回答
我正在开发一个简单的api,这将被iphone使用。在rails中有没有一个简单的认证gem (使用令牌认证或api密钥),我可以通过http使用(没有https)。
浏览 0提问于2012-05-29得票数 6
回答已采纳
我正在尝试通过API对存储桶执行POST。我有一个API密钥,还有一个client-id和密钥。对于一个简单的post,我的存储桶的认证报头中应该包括什么?
浏览 0提问于2019-03-26得票数 0
在我的Android手机上,我使用了几个提议生物识别认证的应用程序。如果我启用它,这些应用程序能读取我的指纹数据并将其传输到第三方服务器吗?
浏览 0提问于2021-04-10得票数 17
回答已采纳
我已经编写了代码来使用python.But在Softayer中授予api key访问权限,现在我想删除api访问权限。
浏览 8提问于2017-07-24得票数 0
1回答
我随身带着oauth密钥和秘密。现在我想切换到google drive api。在google drive api上学习和研究一下,它在身份验证方面看起来有点不同。但我无法授权我的服务器端python代码使用我的oauth密钥授权/认证用户并访问我的驱动器。有谁有任何备用知道如何使用pydrive访问我的驱动器与我以前的身份验证密钥。我只需要一种简单的认证方式。
浏览 0提问于2014-05-08得票数 0
我如何认证/保持现有的用户,目前访问网站/移动应用?
设想的答案是:每次用户认证时,web服务是否应该创建具有到期时间的会话/用户密钥,并且每个请求都必须从网站返回到web服务?设想的答案是:创建API/web键。网站/移动应用程序必须同时发送API密钥和会话/用户密钥。但据我所知,API密钥不应该存储在移动应用程序中。如何确保api密钥</
浏览 3提问于2016-03-16得票数 0
回答已采纳
对于注册,它是正确的工作对所有三个,但在登录时,它不应该要求认证的网站,因为用户已经认证网站在注册的第一步。我的要求是,用户只需对网站进行一次认证(在社交媒体网站要求用户“允许该网站访问您的用户名、姓名等”的注册处)。如果同一个用户选择使用相同的社交媒体登录,那么应该只要求它提供凭据,而不是“网站的认证(”允许本网站查看您的用户名、名称等.“)。
浏览 4提问于2014-07-07得票数 0
我的设置如下:
我使用奇妙的从excel中激活的python脚本中进行API调用。这使得复杂的数据提取和转换工作流能够在尼斯python中编码,而不是恼人的VBA。我的问题是:我的API调用在过去使用了硬编码的API键。这是一个很大的保安-不-不。现在,我的API调用需要在Azure中通过OIDC (OAuth2)身份验证。
浏览 3提问于2021-10-21得票数 0
回答已采纳
我正在制作一个应用程序的机器人,该应用程序是用GraphQL API制作的,但需要进行密钥披风认证。API的创建者给我发送了这些环境变量。NEXT_PUBLIC_KEYCLOAK_CLIENT_ID="something-else“ NEXT_PUBLIC_KEYCLOAK_REALM=”#en0#“NEXT_PUBLIC_KEYCLOAK_HOST="”
“您的令牌密钥过期或无效。这是连接到API的代码:
浏览 2提问于2020-12-08得票数 0
我想在windows phone应用程序中集成谷歌自定义搜索进行图像搜索,我在上创建了该项目
当我去项目描述的应用程序接口和认证部分创建API密钥时,弹出窗口只给出了四个选项服务器密钥,浏览器密钥,安卓密钥和ios key.There没有为windows phone应用程序创建Api密钥的选项。
浏览 1提问于2014-10-12得票数 2
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
即时通信 IM
云直播活动推荐
腾讯云开发者
