Экспо / реагировать нативные и секретные ключи API - PullRequest
1 голос
/ 30 мая 2019

Я совершенно новичок в expo и реагировать на нативную (create-реагировать-нативная-приложение), и я столкнулся с проблемой, когда после многих исследований я вижу проблему, но не решение.

Я разработалмое приложение, которое должно быть только внешним, не нуждается в базе данных или аутентификации, но все же мне нужно использовать API Google Places и API провайдера отправки электронной почты (который может быть sendgrid, mailjet ...), и я сталкиваюсь с этой проблемой, котораяЯ думал, что не буду первым, с кем столкнусь:

  • Где я могу хранить все мои КЛЮЧИ API и СЕКРЕТНЫЕ КЛЮЧИ API? Существует ли (простой) безопасный способ сделать это без необходимости устанавливать аутентификацию и / или полный бэкэнд.

Я везде читал, что вы не должны хранить какой-либо секретный ключ в своем приложении, и я понимаю, почему.Но я нигде не могу найти простое решение, чтобы не?

Я нашел следующий пакет:

https://github.com/zetachang/react-native-dotenv но я сомневаюсь, что это решает эту проблему, поскольку он также сохраняет все в приложении.

Я нашел следующееreadme:

https://github.com/EQuimper/blog/blob/master/content/post/where-do-i-put-secret-key-in-expo-project.md но я действительно не думаю, что это что-то делает безопасным.

Я действительно надеюсь, что кто-то может привести мой путь к самому простому решению для решения этой проблемы.И если решение заключается в следующем: иметь бэкэнд и использовать этот сервис аутентификации, пожалуйста, будьте так любезны, разработайте его немного подробнее (какой-нибудь учебник или дополнительную информацию?)

Очень печально видеть, что у меня есть приложениеполностью готов, но я не могу поставить в Интернете по соображениям безопасности.

Большое спасибо заранее.

1 Ответ

0 голосов
/ 05 июня 2019

Как вы говорите, предлагаемые вами решения не будут служить для защиты ваших секретных ключей в рабочей среде.

Единственный способ - использовать бэкэнд.

Вы можете использовать JSONWeb Tokens для выполнения авторизованных запросов с помощью шифрования для получения этих данных на передней панели.Таким образом, клиент не сможет видеть какую-либо конфиденциальную информацию и сможет использовать ключи только косвенно и всегда через наш канал.

Добро пожаловать на сайт PullRequest, где вы можете задавать вопросы и получать ответы от других членов сообщества.
...