AppID用于WEB时的安全问题

Web上应用agora时,appID是直接写在JS里的,比如client.init(appId, function())

虽然加入频道可以用token来鉴权,不用担心不认识的人来加入频道。

但是appID很容易就被人知道了,如果被别人拿来盗用,比如说他自己新开一个频道,顺便模拟我方的服务器端生成token(用于生成token的id以及channelName他都自己伪造的话),那岂不是分分钟就被盗用了。。有人考虑过这种问题吗

有什么办法可以让appID不直接写在JS里呢(从服务器端去取的方法也不可取,因为调试下JS就能被发现)

请求大神的解惑。。。

https://docs.agora.io/cn/Interactive%20Broadcast/token_server?platform=All%20Platforms#使用示例代码快速生成-token
生成token时还需要传入你的app证书certificate,这个是获取不到的所以只要保存好证书并开启token认证就:accept:

哦,app证书certificate相当于第二道关卡,明白了。那么app ID即便是被暴露了也OK,前提是无证书模式必须得禁用。

多谢你的回答啦—

是的,开启了证书验证后就很难被盗用了