如何解决安全的apikey或令牌在浏览器应用程序上,例如react
我正在开发React应用,并且是客户端技术和脚本语言的新手。
我分配的任务之一是确定一种保护应用程序代码中敏感数据的方法。
例如,我们计划使用日志记录工具(例如Splunk,Loggly,Sentry等)将日志写入并推送到服务器。
有一些可以使用这些工具的JS库。并且每个服务器都需要某种apikey或令牌,这些密钥或令牌是从服务器发出一次的,才能正常工作。
通过将示例代码(JS,ES或TypeScript)放入此类代码或令牌中并在本地计算机上测试集成,很容易编写示例代码。但是我认为在生产环境中部署此类代码会带来安全风险。
示例代码如下。
const logger = new LogglyTracker();
logger.push({'logglyKey': 'xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxx'});
var error = {
level: "error",userId: "SomeUserID",message: "Some Error",clientId: "some clientid"
}
var info = {
level: "info",message: "Some Info",clientId: "some clientid"
}
logger.push(info);
logger.push(error);
可以从客户端脚本中检索到这样的密钥或机密,并且日志服务器中可能充斥着垃圾日志,导致日志变慢或变慢或产生巨大的成本。
到目前为止,我已经完成了使用LocalStorage的研究,但是在安全性方面尚未达成100%的协议。
因此,我正在寻找一种方法来保护客户端代码中的此类敏感信息。我希望至少能够使它变得很难被揭示,即使并非不可能。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。