Amazon の新APIについて、2週間ほど前に開発チームからの見解がでていました。

Thread: OSSからの認証利用について

まぁまとめると、

 

  • デスクトップアプリケーションでAPIを使う場合、秘密キーを埋め込むこと自体は禁止というわけではない。
  • ただ、漏洩しないような仕組みを考えることと、漏洩した場合は速やかに変更できるような処置をいれること。

簡単に言えば、問題がおきたらすぐに対処できるような体制であれば、自分の責任でやってくださいって感じですね。

とりあえず、AwStore については、下記のような方法で対応することにします。

 

  • AwStroe –> Encodingサービス ( Encode前のURLを送信)
  • Encodingサービス –> AwStore (EncodeしたURLを送信)
  • AwStore –> Amazon (EncodeしたURLでAPI コール)

Encodingサービスは amacal用に作った、自作のサービスです。

この方式のメリットですが、秘密キーなどの情報はすべて Encoding サービス側にあるので、漏洩はしにくいと思われます。

デメリットは、自宅のサーバーがダウンしている場合は、AwStore自体が使えなくなるのと、アクセスが集中するとパフォーマンスに問題がでるかもしれませんね。

これに対応した新しいバージョンは、これからテストに入り、今月下旬にはリリースできると思います。

About Arugoworks

No Comments

Be the first to start a conversation

Leave a Reply

  • (will not be published)