Appsflyer API token 數(shù)據(jù)泄露風(fēng)險(xiǎn) (人為因素)

2022年6月7日 16:00:22 來(lái)源：喜運(yùn)達(dá)

通過(guò)API token可以拿到AF賬號(hào)的大部分?jǐn)?shù)據(jù)，定時(shí)刷新push api的token，保證token不被泄露，避免數(shù)據(jù)被竊取的風(fēng)險(xiǎn)！

API token + Push API /pull api的用處：

主要是用于自己開發(fā)內(nèi)部的BI，可以通過(guò)Appsflyer的push api或者pull API，直接拿到自己APP的大部分安裝用戶的設(shè)備信息，渠道來(lái)源等，也可以直接把面板的數(shù)據(jù)抓回去再按照自己的需求重新做一個(gè)dashboard。通過(guò)Push API 或者Pull API 拿書的時(shí)候都會(huì)需要使用到API token。

Api token 這個(gè)是在AF的admin權(quán)限下，點(diǎn)擊個(gè)人信息出來(lái)的安全中心中。API token分1.0token和2.0token，使用1.0拿到的信息比2.0的少一些，但是1.0也基本能完成大家絕大部分的需求，當(dāng)初我們自己在做的時(shí)候是有一部分?jǐn)?shù)據(jù)必須通過(guò)2.0實(shí)現(xiàn)，但是如果大家只是想做個(gè)簡(jiǎn)單的內(nèi)部BI，實(shí)現(xiàn)一些定制化的數(shù)據(jù)分析，1.0的token足夠，可以讓技術(shù)去評(píng)估你的需求是否有必要用到2.0。

API token的使用：

在AF的后臺(tái)菜單中直接找到API access，進(jìn)去可以配置push api的接口或者如何用Pull api的方法，Push API可以配置多個(gè)，但是我記得是只能拿到實(shí)時(shí)的數(shù)據(jù)，不能拿到歷史數(shù)據(jù)，想要?dú)v史數(shù)據(jù)是在raw data里面可以下載到90天（或則更短），至于里面要配置的POST方式還是GET方式，以及配置要多少字段，以及多少event這些也都直接給技術(shù)那邊去研究就好。Pull api是可以把一些面板的數(shù)據(jù)直接再抓下來(lái)自己做個(gè)自定義dashboard，包含歷史的數(shù)據(jù)。

這些細(xì)節(jié)優(yōu)化同學(xué)知道有這么個(gè)事情就好，畢竟對(duì)接push api肯定會(huì)有自己的服務(wù)端同學(xué)和數(shù)據(jù)同學(xué)能把這些搞明白，具體文檔直接Google搜索Appsflyer Push API，進(jìn)官方網(wǎng)站查詢細(xì)節(jié)對(duì)照解決即可。

最大的風(fēng)險(xiǎn)：

拿到API token之后可以直接拿到整個(gè)AF賬號(hào)下的所有數(shù)據(jù)，通過(guò)API token知道包名就能按照pull api接口把很多數(shù)據(jù)抓下來(lái)。當(dāng)有技術(shù)離職帶著你的API token走了，隨時(shí)都可以再把你數(shù)據(jù)抓下來(lái)分析，或者干脆有技術(shù)對(duì)接的時(shí)候直接在群里面發(fā)Api token。

如何規(guī)避風(fēng)險(xiǎn)：

定期刷新API token，尤其是有人離職之后，刷新token讓原來(lái)的token失效后，自己把新的token加進(jìn)去即可。

改進(jìn)：

1，設(shè)置定期更新token的提醒（自己寫一個(gè)工具提示更新），但是這個(gè)治標(biāo)不治本，懶了還是不會(huì)去換。

2，AF開發(fā)限定IP訪問(wèn)，限定只有特定的IP地址可以訪問(wèn)請(qǐng)求api token，在安全中心設(shè)置，這樣即便token被人知道，也無(wú)法直接使用。

關(guān)于Appsflyer的數(shù)據(jù)安全問(wèn)題，其實(shí)不只是單純的token泄露的問(wèn)題，人員流動(dòng)，離職后權(quán)限沒處理的問(wèn)題也很嚴(yán)重，尤其是在項(xiàng)目特別多的情況下，分配出去的權(quán)限沒及時(shí)回收問(wèn)題也非常嚴(yán)重。項(xiàng)目少的時(shí)候人員少還比較容易找到，項(xiàng)目多的時(shí)候經(jīng)常出現(xiàn)，大家也不那么重視。

來(lái)源：喜運(yùn)達(dá)