我正在使用 Apple Music MusicKit js API。
MusicKit是一个前端js库,需要在前端使用开发者令牌来配置MusicKit实例并获取用户令牌。
我正在尝试利用 MusicKit 创建一个 Web 应用程序,并且我想向用户隐藏开发者令牌,因为它是敏感数据。我注意到将令牌发送到后端或从后端将其带入前端会导致它显示在网络选项卡中。
如何设置我的应用程序,以便我可以利用开发者令牌来获取用户令牌,但又不对用户隐藏?
使用 HTTPS:想象一下信封是安全的,只有接收者才能打开它。当您发送令牌时,请通过 HTTPS 进行。它就像您的数据的安全信封。
不要在网址中显示:这就像在街上喊出你的秘密一样。不要将令牌放在 URL 中,而是将其放在请求正文或标头中发送。这就像把秘密放进密封的信封里。
如果可能的话加密:加密就像在密码中写入秘密。如果您的后端和前端支持它,请对令牌进行加密,这样即使有人拦截它,他们也无法理解它。
使用环境变量:将它们想象成将你的秘密隐藏在一个上锁的盒子里。将您的令牌存储在服务器上的安全位置,例如环境变量。您的代码可以访问它,而无需公开显示它。