Самый безопасный способ хранить токены доступа (Tizen)

Приложение My Samsung Gear (Tizen 2.4, Web App) использует несколько платных API, защищенных секретными токенами доступа.

На данный момент у меня просто эти токены находятся внутри js файла, это не кажется безопасным способом хранения конфиденциальной информации.

Каков рекомендуемый способ хранения такой информации?

В документации упоминается менеджер ключей: https://developer.tizen.org/ko/development/api-references/web-application?redirect=/dev-guide/3.0.0/org.tizen.web.apireference/html/device_api/wearable/tizen/keymanager.html&langredirect=1

Но я думаю, что у пользователя часов есть к этому доступ? Именно этого я стараюсь избегать.

Внутри файла конфигурации я могу установить некоторые предпочтения, которые затем можно получить с помощью API предпочтений. Это безопасно? Или эту информацию тоже можно извлечь?

Мне было интересно, какой самый безопасный способ хранить конфиденциальную информацию о приложении (например, имена пользователей, пароли, токены, ключи и т. Д.), К которой пользователь часов никоим образом не должен иметь доступа, - это поместить внутрь приложения с шестеренкой. Или гарантируется защита кода в скомпилированном файле WGT?


javascript tizen tizen-web-app samsung-galaxy-gear
person Gilles Lesire    schedule 01.05.2019    source источник
comment
Если вас беспокоит безопасность, вызовите конечную точку со своей страницы на свой собственный сервер, и пусть ваш сервер сделает запрос api к платному API. Не раскрывайте свои токены доступа пользователю.   -  person Taplar    schedule 02.05.2019
comment
Да, я уже об этом думал. Поскольку эти API-интерфейсы весьма востребованы, мне пришлось бы добавить свою собственную безопасность с чувствительным ко времени токеном, срок действия которого истечет через несколько минут. В основном это хешированная метка времени с закругленными углами и некоторым солидным значением. Чтобы злоумышленники не злоупотребляли API через мой собственный сервер. Таким образом, была покрыта большая часть вектора атаки. Тем не менее, мне все равно придется иметь возможность безопасно хранить это количество соли, чтобы быть на 100% безопасным.   -  person Gilles Lesire    schedule 02.05.2019

Ответы (1)


arrow_upward
1
arrow_downward

Или гарантируется защита кода в скомпилированном файле WGT?

Есть функция шифрования Шифрование доступно в приложениях Tizen. Он защищает файлы html, js и css после установки на устройство. Возможно, вы можете использовать его для защиты некоторых конфиденциальных данных, но обратите внимание, что шифрование происходит во время установки на устройстве, а не во время создания файла wgt.

person 15kokos    schedule 13.06.2019
comment
Спасибо, проверю! - person Gilles Lesire; 14.06.2019