Я пытаюсь создать мобильное приложение внешнего интерфейса woocommerce (ionic) с помощью woocommerce-api.
Мне нужно, чтобы ключ api мог читать и писать, чтобы люди могли размещать заказы.
Ключ API используется для получения любых данных из магазина (бэкэнда), таких как изображения продуктов, названия и т. Д. ...
Если кто-то завладеет секретным ключом API, он может сделать все, что онхочет зайти в мой магазин woocommerce, стереть товары, добавить товары или что-то еще.
Вот часть, которую я не понимаю:
Если я храню свои ключи на сервере и пишу метод дляизвлекать их всякий раз, когда пользователь использует мое приложение, что мешает кому-либо выполнить реинжиниринг моего приложения и использовать тот же метод для вызова моего ключа API, а затем продолжать делать все, что он хочет?
Пример 1 (API сохраненна стороне клиента)
1- hacker reads my source code.
2- hacker reads my api secret key.
3- hacker writes a fake app to mess with my store.
Пример 2 (API хранится на сервере)
1- hacker reads my source code.
2- hacker finds out my function "GetApiFromServer()"
3- hacker uses write a fake app with the same GetApiFromServer() function.
4- hacker messes with my store.
В чем разница?я что-то упускаю?