Q&A
「Oauth2を使用してAPI keyを取得する」ってどういう意味でしょうか?
「ドキュメントにAPI keyなどの機密情報はハードコーディングも環境変数として設定しておくのもダメだと書いてあった』というのは、もしかするとそれは「client_id」や「client_secret」をhard codeするな、という話ですか?
React Native(Expo)でIOSアプリを作成しています。
ドキュメントにAPI keyなどの機密情報はハードコーディングも環境変数として設定しておくのもダメだと書いてあったのですが、どのように設定するのが主流なんでしょうか?
Oauth2プロバイダーと通信するreact-native-app-authというSDKを使えと記載がありましたが、調べてみたところ、Googleなどのアカウントにログインする際に使用するものとして説明されていました。
また、多くのアプリで機密情報がハードコーディングされているという記事を見かけました。それが本当ならあまり問題ではないということだと思いますが、本当にハードコーディングは避けるべきなのでしょうか。
まとめると、
- スマホアプリでAPI keyなどの機密情報を保存する方法はどのようなものが主流なのか
- Oauth2を使用してAPI keyを取得することは正しいのか
- (2が正しいのなら)Oauth2を使用してAPI keyを取得するのは過剰で、実際はハードコーディングされることが多いのではないか
というのが教えていただきたいことです。
環境変数事情には全く詳しくないので、的はずれなことを聞いているとしたら申し訳ないのですが、教えていただけると嬉しいです。
回答をお待ちしています。
自分で書いておいて申し訳ないんですが、どこかのドキュメントに「Oauth2を使用してAPI keyを取得する」という旨の記載があったという程度で、詳しくは理解できていないです。
「ドキュメントにAPI keyなどの機密情報はハードコーディングも環境変数として設定しておくのもダメだと書いてあった』については、API keyとしか書かれていなかったと記憶しています。自分の想定としては、FirebaseやAlgolia、Sentryなどです。
回答1件
0
そのアプリの重要度によります。
ハッカーにパクられたときにどれだけの損害があるか?
それだけだと思います。
通常、パクられても屁でもないのでハードコーディングします。
投稿2021/05/08 19:03
退会済みユーザー
総合スコア0
あなたの回答
tips
プレビュー
