Obfusquer une clé publique

Version imprimable

13/10/2015, 17h28
grunk

Obfusquer une clé publique

Salut à tous,

j'ai une appli purement javascript qui fait des appel à une API.
Mon appli embarque une clé pour se connecter à l'API. Cette clé n'est pas le moyen d'authentification à l'API , il y'a en plus un couple login/mot de passe que l'utilisateur doit fournir.

Je suis bien conscient qu'à partir du moment ou cette clé est coté javascript elle sera toujours visible mais j'aimerais la rendre moins "évidente" dans le code.

Quelles solutions puis je utiliser pour essayer d'obfusquer un peu cette clé. ?

Merci
14/10/2015, 09h43
SylvainPV

Effectivement comme tu l'as souligné, obfusquée ou non la clé sera toujours récupérable si elle se trouve côté client. Tu peux essayer de la masquer en renommant les variables ou en bricolant un peu avec le code, par exemple réécrire var KEY = "azerty" en var k = window[(![]+[])[+!+[]]+(!![]+[])[+[]]+"ob"]("YXplcnR5"). Peu importe la méthode choisie, le plus important ici sera de ne pas attirer l'attention. Mais je le redis encore, si la personne sait ce qu'elle cherche, elle trouvera sans aucune difficulté.

D'un autre côté, une clé publique est censée justement pouvoir être publique sans que cela ne pose aucun problème de sécurité. Pourquoi tiens-tu à la cacher ?
14/10/2015, 10h37
grunk

Merci de ta réponse.

Tu pourrais m'expliquer (ou un lien) le petit bout de code tu à écris ^^ C'est typiquement le genre de chose qui me conviendrait.

Citation:

Pourquoi tiens-tu à la cacher ?

Mon système est un peu particulier. Il y'a un ensemble d'identifiants qui peuvent être utilisé par plusieurs client différents et la clé est ce qui me permet d'identifier chaque client.
Le but est d'éviter qu'un utilisateur utilise la clé de son client javascript avec son client c++ par exemple.
14/10/2015, 10h43
SylvainPV

J'ai juste utilisé les fonctions atob et btoa qui servent à encoder et décoder en base64. J'encode la clé avec btoa("azerty") qui donne "YXplcnR5", puis je laisse atob("YXplcnR5") dans le code final pour récupérer la String d'origine. Et pour que la fonction atob soit moins évidente à lire, je la récupère par référence sur l'objet window en construisant son nom avec quelques artifices évoqués dans cet article