config.php文件的安全性和Facebook秘密密钥

Question

一些如何在另一家开发商越来越我们的应用程序的秘密，并用它来进行HTTPS/API Banned请求禁止我们的用户从我们的应用程序。

1. 他怎么又是让密钥，我们只有在它位于服务器上我们的config.php文件中列出。我们无法在服务器上发现任何违规行为，并且config.php不可读或任何地方显示。

2. 将被Facebook提供的白名单设置，从禁止阻止黑客/开发者或者是它只是阻止更改应用程序的设置？

Answer 1

我建议您重置您目前使用的应用程序密钥，以便您可以生成新密码并限制破坏程度。

您可以利用根据documentation这表明

我们也使您可以限制你的API调用来从一组白名单服务器的Server IP Whitelist。您可以通过转到应用程序面板中开发者设置的高级部分来设置白名单，并设置“服务器白名单”字段。

并且您可能会进一步利用Update Settings IP Whitelist来限制对应用设置的更改。引用自documentation，

我们允许您指定必须用于更新应用设置的IP地址白名单。这有助于确保只有使用公司IP地址的开发人员才能更新设置，从而防止攻击。