Appsflyer API token 數據泄露風險 (人為因素)

2022年6月7日 16:00:22 來源：喜運達

通過API token可以拿到AF賬號的大部分數據，定時刷新push api的token，保證token不被泄露，避免數據被竊取的風險！

API token + Push API /pull api的用處：

主要是用于自己開發內部的BI，可以通過Appsflyer的push api或者pull API，直接拿到自己APP的大部分安裝用戶的設備信息，渠道來源等，也可以直接把面板的數據抓回去再按照自己的需求重新做一個dashboard。通過Push API 或者Pull API 拿書的時候都會需要使用到API token。

Api token 這個是在AF的admin權限下，點擊個人信息出來的安全中心中。API token分1.0token和2.0token，使用1.0拿到的信息比2.0的少一些，但是1.0也基本能完成大家絕大部分的需求，當初我們自己在做的時候是有一部分數據必須通過2.0實現，但是如果大家只是想做個簡單的內部BI，實現一些定制化的數據分析，1.0的token足夠，可以讓技術去評估你的需求是否有必要用到2.0。

API token的使用：

在AF的后臺菜單中直接找到API access，進去可以配置push api的接口或者如何用Pull api的方法，Push API可以配置多個，但是我記得是只能拿到實時的數據，不能拿到歷史數據，想要歷史數據是在raw data里面可以下載到90天（或則更短），至于里面要配置的POST方式還是GET方式，以及配置要多少字段，以及多少event這些也都直接給技術那邊去研究就好。Pull api是可以把一些面板的數據直接再抓下來自己做個自定義dashboard，包含歷史的數據。

這些細節優化同學知道有這么個事情就好，畢竟對接push api肯定會有自己的服務端同學和數據同學能把這些搞明白，具體文檔直接Google搜索Appsflyer Push API，進官方網站查詢細節對照解決即可。

最大的風險：

拿到API token之后可以直接拿到整個AF賬號下的所有數據，通過API token知道包名就能按照pull api接口把很多數據抓下來。當有技術離職帶著你的API token走了，隨時都可以再把你數據抓下來分析，或者干脆有技術對接的時候直接在群里面發Api token。

如何規避風險：

定期刷新API token，尤其是有人離職之后，刷新token讓原來的token失效后，自己把新的token加進去即可。

改進：

1，設置定期更新token的提醒（自己寫一個工具提示更新），但是這個治標不治本，懶了還是不會去換。

2，AF開發限定IP訪問，限定只有特定的IP地址可以訪問請求api token，在安全中心設置，這樣即便token被人知道，也無法直接使用。

關于Appsflyer的數據安全問題，其實不只是單純的token泄露的問題，人員流動，離職后權限沒處理的問題也很嚴重，尤其是在項目特別多的情況下，分配出去的權限沒及時回收問題也非常嚴重。項目少的時候人員少還比較容易找到，項目多的時候經常出現，大家也不那么重視。

來源：喜運達