极客观点
项目管理
HarmonyOS
主要在ios端上传图片。
token是通过api接口去web端请求的,返回json数据,比如这样的格式:
{"token":"rAjnchhHt70jjKzIbyH_-u3xuA2z4KsKqJOE0ZOV:PXsfM6Mn3yR46j1x0kIUR9tdDsU=:eyJzY29wZSI6ImR4YzIwMDMiLCJkZWFkbGluZSI6MTQxMTkzNTU1N30="}
api请求的时候,需要加密通信密钥(这个密钥不是七牛云的密钥)才能返回token,所以不是任何人都能调用这个api接口请求token的
token过期时间1小时
现在的问题是:
这样直接返回token有没有潜在的风险?比如人家应该可以直接利用这个token上传东西到我的七牛云空间。
web端要不要对这个token经过加密再返回给ios解密?
七牛云存储
上传token本身暴露了,确实任何人都可以在有效时间内向你指定的bucket上传一些东西(具体还得看你的上传策略中具体的参数设置),但是这个其他人来说其实意义不是很大,因为获取了token并不能解密出token中包含的上传策略的具体信息,也就是说即使有第三方攻击者使用这个token上传了,他也用不了上传的资源,因为他无法破解出上传资源的key和上传的bucket。
关于是否需要服务端加密,客户端解密,这个你可以根据你的需求自行调整,其实也是可以的,但是解密的私钥存储在客户端是否安全也是值得考虑的问题。