V2EX = way to explore V2EX 是一个关于分享和探索的地方
Sign Up Now For Existing Member Sign In
This topic created in 3254 days ago, the information mentioned may be changed or developed.
手机端直接直接朝阿里的 oss 上传视频, 上传需要 accesskey, 这个 key 肯定不能写到 app 里面. 目前的做法是手机端传之前向服务器请求加密的 accesskey, 请求到以后手机用公钥解密, accesskey 始终只存在于内存中.
但是还是感觉有点不安全, 有没有可能别人拿到本地公钥? 特别担心 android 版的. 求靠谱方案.
 | 1 notes Jun 1, 2017 via Android 可以区分不同用户,限制每个用户的量吗? |
 | 2 freestyle Jun 1, 2017 用阿里云的访问控制 RAM 功能, 后端写个获取临时(最长 3600s)访问权限的服务, https://help.aliyun.com/document_detail/32059.html?spm=5176.doc32058.6.704.JQXxHp |
 | 3 kraymond Jun 1, 2017 via Android 阿里云 OSS Android SDK 文档里我记得是给了两个解决方案的。 |
 | 4 sunhr Jun 1, 2017 目前的做法肯定是不行的,一旦被拿到 key 和 secret,对方可以直接删掉 OSS 里面所有内容 可以参考 SDK 的文档,使用 STS 鉴权 iOS: https://help.aliyun.com/document_detail/32059.html Android: https://help.aliyun.com/document_detail/32046.html |
 | 5 onikage OP 非常感谢楼上各位, 我们其实是有使用 ram 的生成临时令牌的, 我担心的是客户端能伪造上传权限.在令牌过期前恶意上传大量文件. |
 | 6 sodarfish Jun 1, 2017 恶意上传可以根据令牌或者用户做限制的吧 |
 | 9 LeeSeoung Jun 2, 2017 只要你的 key 是在安卓端解密的,一般都是可以调试出来的。。所以你的做法不安全。 |
| 11 LeeSeoung Jun 2, 2017 自定义协议 https 不让走代理。 |
Select Language