filepicker.io安全性

Question

在jsfiddle中，http://jsfiddle.net/filepicker/BYF9t/

filepicker使用api密钥初始化，读写操作受策略保护。

filepicker.setKey('8PbzrhP9Tr2r6wPlSqzS');
filepicker.read(fpfile, {policy: policy, signature:signature}, function(contents)
    console.log(contents);  
})

filepicker.pick({policy: policy, signature:signature}, function(fpfile){
   console.log(fpfile);
});

然而，我仍然不确定它是如何安全的，从这个意义上说，为什么任何人都不能只使用api密钥，只使用它，如下所示？

filepicker.pick(function(FPFile){
  console.log(FPFile.url);
});

此外，为什么任何人都不能只使用策略和上传/下载文件从我的帐户？

请帮助我理解这一点！

Answer 1

当您的帐户启用安全保护时，对Filepicker.io应用编程接口的任何请求(可以是pick、read等)除非它具有适当的策略和机密，否则将被拒绝。

为了防止有人复制您的策略并恶意使用它们，您应该设置一个适当的较短的过期时间，以使这一点变得困难，并在您的端使用某种程度的指数回退或类似的方法，以确保一个人不会不断地从您的服务器生成新策略。