js跨域上传文件至七牛服务器,如何保证安全,
1假如uptoken 已经被别人知道了,怎么办?
2是不是js跨域调用接口 只能上传 不能改,删?
3通过服务器中转上传,通过http协议上传,删 ,改,我们现在知道加密方式都是公开的,如何保证安全?
1 uptoken只能上传,不能进行别的操作,你可以在生成token的时候将deadline时间改短一点,超过deadline上传凭证会失效的
详见上传策略的deadline字段:
http://developer.qiniu.com/docs/v6/api/reference/security/put-policy.html
2 js是客户端,文件的改和删操作是高权限安全操作,是需要服务端控制的,通常是使用七牛的AK和SK生成管理凭证操作,所以 AK和SK都是设置在客户端。要改和删的话,都是你的前端和后端通信,后端确认后由你的后端直接调用接口进行改和删操作
3 加密方式是公开的,但是解密的话是解不出来的你AK和SK的,只要AK和SK不被盗取,你的账号就是安全的。
建议登录 https://portal.qiniu.com/setting/key 更换你的AK和SK