Я пытаюсь разработать стратегию защиты сторонних ключей API для приложения React Native. При создании веб-приложения ключи API могут быть сохранены в переменных среды, а затем защищены при развертывании сервера приложений.
Однако с мобильным приложением, которое использует только серверные службы «серверная часть как служба», например Firebase , приложение не развернуто, оно распределяется, и к службам осуществляется доступ.
После проведения некоторого исследования кажется, что нет стандартного / прямого подхода к решению этой проблемы, хотя это должна быть ситуация, когда тысячи приложений в.
Я использую Firebase, а также две другие службы, которым требуются ключи API. Моим первоначальным решением было добавить эти ключи API (не ключи Firebase) в переменные среды Firebase, как описано здесь , а затем выполнить вызов в приложении облачной функции Firebase и получить их. Но я думаю, что проблема может заключаться в том, что ключи все еще можно перехватить, поскольку они будут извлечены в виде обычного текста.
Это хороший подход к хранению сторонних ключей, а если нет, то какие другие подходы могут взять?