goofmint
commented
1 year ago この記事自体は一つの提案であって、セキュリティ上の問題については要件や実装者が判断されることかと思います。
なお、アプリケーションキーとクライアントキーが漏洩して困ることとしては、プッシュ通知を作成される点くらいだと思います。これも管理画面の設定で、API経由でプッシュ通知を作成できないように指定できます。
データストアの改ざんは、クラスのパーミッション設定やACLによって防ぐことができます。そのため、正しく設定・運用を行えばキーが万一漏洩したとしても、不正な利用は行えません。
nomori7010
mBaasのキーに何かあった(漏えい等)時に、アプリのリリースを経ずに即座に対応ができるような方法を模索しておりました。
ちょうど、こちらの記事に行き当たり、アプリケーションキー、クライアントキーの外部化について記述がありました。 https://blog.mbaas.nifcloud.com/entry/2019/07/25/152623
ただ、こちらではファイルストアに保存し、ファイルをHTTPS公開しているようです(もちろんこうしないと実現は難しいとは思いますが)。 Web上の公開された場所に、秘密情報を置いておくのはセキュリティ上問題はないのでしょうか。