in passato ho espirato con gli strumenti API disponibili di Google, come Drive e Youtube api.
Il modo in cui funziona è dopo aver acquistato un account deveopler, sei concesso a molti servizi Google tramite API, che per poter utilizzare, hai bisogno di una chiave api uniuqe che è collegata al tuo account e aggiunta a ciascuno di l'URL delle richieste.
Ad esempio:
https://www.googleapis.com/youtube/v3/playlistItems?part=snippet&playlistId=some.playlist.id&key={YOUR_API_KEY}
All'inizio pensavo che fosse una buona idea usare la chiave - > l'associazione degli account, ad esempio, se una chiave API ignora le offerte, Google può semplicemente vietare l'account.
Ma poi ho scoperto che è molto semplice eseguire il reverse engineering del codice di autorizzazione nelle app Android / iOS utilizzando strumenti MITM come Mitmproxy. Utilizzando questo approccio, sono riuscito a trovare la app ufficiale di YouTube chiave di API e molte altre app che utilizzano tali servizi, quindi la mia domanda è, non è che Google si spari da solo usando il tasto di autorizzazione quel modo? Poiché le app possono rimanere anonime usando i loro servizi, e persino fingere di essere altri account! .
Non è un'idea migliore creare sdk che riceverà la chiave dell'account e usarla per generare localmente una chiave unica per ogni richiesta? Ovviamente anche questo potrebbe essere decodificato, ma sarà molto più difficile ...