Я создаю приложение для Android, которое будет отправлять отчеты на сервер. Эти отчеты представляют собой простые файлы JSON, хранящиеся в Amazon S3.
Пользователь Amazon имеет разрешение PutObject только для определенного сегмента S3.
Документация гласит, что мы должны использовать механизм Token Vending Machine вместо жестко закодированных ключей в приложении.
Я не вижу преимущества этого метода.
Я понял, что хакер может декомпилировать мое приложение, чтобы найти ключи. Но его единственный выбор - отправлять файлы в корзину, больше ничего (без списка файлов, без поиска файлов).
Если я использую анонимный TVM, процесс:
- Получить токен, действительный в течение 24 часов
- Используйте этот токен для отправки файлов в корзину
Хакер может также вызвать сервер TVM, чтобы запросить неограниченное количество токенов и отправить файлы в мое ведро. Кажется, это не решает эту проблему.
Какое реальное преимущество в использовании TVM?