我们正在创建一个应用,其中每个用户都有一个指定的保管箱文件夹,该文件夹位于仅为该应用创建的保管箱文件夹中 . 用户应该只能访问自己的文件夹 .
问题在于创建的API访问令牌您可以访问所有用户的所有文件夹 . 在我们的应用程序中,我们能够限制访问权限,因此用户只能访问自己的文件夹,但由于访问令牌必须硬编码到Web应用程序中,任何人最终都可以获取它 . 使用访问令牌,他们可以访问所有用户文件夹(并且客户端数据将是不安全的) .
所以有两种可能性:
-
我们通过PHP访问Dropbox并限制访问权限 . 应用程序获取每个AJAX的用户文件夹,PHP脚本处理限制 . 但是没有可能通过PHP访问Dropbox(在API v2中) .
-
数据存储在用户自己的Dropbox帐户中,但我们不希望用户需要自己的Dropbox帐户才能访问我们的应用功能 . 公司应该始终可以访问所有用户文件夹 .
是否有可能在javascript代码中加密和隐藏访问令牌?或者还有其他方法可以解决这个问题吗?
1 回答
如评论中所述,您不能只在JavaScript中隐藏访问令牌 . 虽然你可以让攻击者更难以提取令牌,但你不能让它变得不可能 . (客户端应用程序,例如在浏览器JavaScript中,从根本上说不能保密 . )
其他几点说明:
这不是真的 . 虽然Dropbox不提供Dropbox API v2的官方PHP SDK,但您仍然可以使用the HTTPS endpoints directly或使用a third party library从PHP访问Dropbox API v2 .
设计API的目的是每个用户都链接他们自己的Dropbox帐户,以便与他们自己的文件进行交互 . 建议不要访问此类帐户 .