安全、有效钎焊实施的 5 个技巧

如果您曾经负责在您的应用程序或网站上实施新的营销技术，那么您就会知道确保从一开始就做出合理的技术决策是多么重要。 事实是，工程团队在实施过程中必须做出的一些早期决定可能会在以后转移时很痛苦，甚至是不可逆转的（即哪个用户 ID 被发送到下游的其他系统），所以谨慎行事可以做到避免长期问题并确保您的集成可以完成您需要的工作。

为了在您完成该过程时为您提供帮助，我们汇总了五个实用技巧，这些技巧可以支持现在和未来几年更轻松、更安全的 Braze 实施。

1.选择一个安全可靠的用户ID

如今，消费者在一天之内使用多种设备（从笔记本电脑和手机到智能手表和 Roku 或 Apple TV 等 OTT）媒体平台是很正常的。 对于品牌而言，这种多设备、多平台的现实使得整合每个用户参与的整体视图成为现代营销的重要组成部分，这往往说起来容易做起来难。

在 Braze 中，我们通过基于贵公司提供的已知用户 ID（“外部 ID”）跨设备和平台整合和合并用户来支持这项工作。 这使我们的客户能够执行跨设备个性化、消息传递和报告，以支持无论用户在哪里参与，都可以提供更具凝聚力、相关性的品牌体验。

鉴于此，为您的用户选择合适的 ID 是一个关键的决策点，它有可能影响您未来的集成和您提供的客户体验。 每当您使用我们的 REST API 或通过我们的 Braze Currents 大容量数据导出功能导出此用户 ID 时，都需要此用户 ID，以帮助您在其他系统中使用或协调 Braze 数据，因此它需要可用到您集成的各种平台和软件开发工具包 (SDK)。 因此，当您选择标识符时，请牢记以下两个关键原则：

不要使用容易猜测的标识符

当您在 Braze 平台中设置当前用户的 ID（使用 changeUser）时，我们的 SDK 将自动请求与该特定用户关联的相关应用内消息和内容卡。 这使得确保您为每个用户使用的 ID 不会被组织外部的个人轻易预测到，因为可能会暴露数据，这一点很重要。

为避免引诱黑客和其他不良行为者，我们建议您不要使用容易被外人猜到的外部 ID。 这包括来自您的内部数据库的自动递增 ID、可在用户个人资料页面上找到的公共用户名、电子邮件地址或电话号码。 如果您有兴趣添加第二层安全性，Braze 强烈建议实施我们平台的 SDK 身份验证功能，我们将在本文后面讨论。

不要使用电子邮件地址作为标识符

我知道我们刚刚提到在 Braze 中使用登录用户的电子邮件地址作为他们的外部 ID 是一个坏主意，但值得重复一遍：说真的，不要使用它！

以这种方式使用电子邮件地址是品牌之间的共同本能，但它会让您面临未来的复杂性和风险，而不仅仅是让外人容易猜测。 一方面，电子邮件地址通常存在于被泄露的数据库中，这使得敌对实体更容易识别您正在使用的 ID。

另一个问题？ 您不能假设个人使用的电子邮件地址必然是他们作为客户在整个任期内使用的地址。 虽然 Braze 平台确实有一个外部 ID 迁移 API，如果出现这种情况，您可以更改其外部 ID，但您可能需要数天或数周的工程资源来解决问题。

2. 使用 SDK 身份验证保护您的实施

我们的 SDK 使我们的客户能够在 Braze 中收集有关用户属性及其在给定品牌的移动应用程序、网站、联网电视应用程序等中的参与度的详细数据。 这使我们的客户可以跨不同平台实时收集数据，以响应方式细分受众，并创建、触发和交付活动和个性化的客户旅程。

但是，由于 SDK 在支持我们的客户参与工作方面发挥着如此重要的作用，因此确保他们能够以安全的方式这样做是至关重要的。 未能保护其 SDK 的品牌可能会面临对其受众的假冒攻击，恶意黑客可能会改变您用户的偏好或阅读他们的敏感信息。 我们的 SDK 身份验证功能类似于对您的 SDK 进行双重身份验证，旨在确保您的 SDK 安全。 使用 SDK 身份验证，您可以将每个 Braze 应用程序配置为要求证明当前用户的 ID 是真实的并且没有被其他人冒充。

SDK 身份验证的工作原理

一般来说，当用户登录时，您的应用会获取他们的信息——例如他们的头像、会话令牌、权限、功能标志等。因此，要使用 SDK 身份验证，您只需生成一个 JSON Web 令牌(JWT) 使用私钥进行签名，然后返回该签名以及该用户的现有配置文件信息。

一旦发生这种情况，我们的 SDK 可以获取 JWT 签名并将其与每个相关请求一起转发。 这使我们能够根据您上传到 Braze 仪表板的公钥验证签名，从而为流程增加了重要的新安全层。

SDK 身份验证的好处

通过启用 SDK 身份验证，您的品牌可以控制是否应拒绝向 Braze 发出的给定请求。 设置完成后，Braze 平台将开始代表您监控 SDK 流量，根据您的标准自动接受或拒绝请求，并提供显示无效请求数量的实时图表。 反过来，这将阻止个人使用您配置的外部 ID 冒充用户。

SDK 身份验证入门

要了解有关 Braze SDK 身份验证的更多信息并启动实施过程，请查看我们的 SDK 身份验证文档页面。

3. 及时了解 SDK 版本

这个建议很简单，但这是顶级品牌做对的事情 - 即确保您的组织有计划在您使用的 SDK 版本方面保持最新。 完成这将有助于确保您的应用程序或网站能够充分利用 Braze 平台并在未来的安全挑战中保持领先； 此外，如果不这样做，可能会限制您利用新功能或响应技术环境中对时间敏感的变化的能力。

通过更新您的 SDK，您的品牌可以解锁我们工程团队开发的最新功能，以及关键错误修复和性能改进。 此外，确保您在 Braze SDK 方面处于最新状态，可以大大轻松地解决您与我们屡获殊荣的技术支持团队集成时可能遇到的任何问题。

在 Braze，我们了解每次 SDK 更新都会占用您团队可能从事的其他工作的时间。 为了简化事情，我们已经为我们的 SDK 迁移到语义版本控制，以便更容易理解每​​次更新所涉及的工作。 我们还在对我们的核心 SDK 进行有意义的更新，例如支持 Web 的“tree shaking”，在 Android 上从 Java 迁移到 Kotlin，以及在接下来的几周内发布一个全新的 Swift iOS SDK。

4. 使用标签管理器获得最大的灵活性

希望快速部署更改而无需等待数周或数月来获得宝贵的开发资源？ 实现这一目标的一种聪明方法是利用标签管理器。 这些工具一直是许多营销团队的救命稻草，Braze 强调与所有顶级标签管理器集成，包括 Google Tag Manager、Segment、mParticle 等。 三个主要好处包括：

支持营销团队的灵活更新

通过使用标签管理器，您的团队将能够更快地进行 SDK 更新，并且在某些情况下，您可以在不需要工程资源的情况下执行它们。 这将使访问新功能并实施错误修复和其他改进变得更加容易和快捷。 此外，利用标签管理器可以在必要时打开和关闭不同的 Braze 自定义事件，以避免收集无关的数据。

允许更通用的实现

如果您在应用程序或网站上与其他营销技术一起实施 Braze，通常可以从使用现有数据层的单个通用实施中受益。 结果呢？ 您的营销团队可能会使用现有事件触发 Braze 消息传递，而无需针对每个新营销活动进行更新。

例如，您无需为每个第三方供应商添加新的“购买跟踪”代码，而是可以告诉您的标签经理发生了购买事件，并让它向您集成的所有工具发出请求。

与隐私和同意管理平台集成

标签管理器的另一个好处是它们可以更轻松地与隐私和同意管理平台集成。 该功能与 Braze SDK 一起，仅在用户同意时才可以轻松部署某些类型的数据收集，尤其是在广泛使用 cookie 和同意横幅的网站上。 通过对收集和不收集哪些数据提供更精细的控制，营销人员通常可以减少与同意管理相关的工程负担。

5. 给 Braze SDK 工程团队留下反馈

在 Braze，我们的产品、设计和工程组织努力使 Braze 平台的实施和利用尽可能简单。 也就是说，移动、网络和整个数字生态系统都在不断发展和变化，您和您的团队对我们的任何反馈都是我们欢迎的。 特别是，如果您对我们如何改进我们的 SDK 或进行其他更改以使开发人员的生活更轻松有任何想法，请随时使用我们的公共路线图门户直接向我们的产品工程团队留下反馈，以便审查或发布在我们的Braze Bonfire Slack 社区。

最后的想法

没有人能预测未来。 但是，通过在 Braze 实施开始之前花时间思考和准备，您可以避免潜在的陷阱，并让您自己和您的团队为实现您的业务目标做好准备。

有兴趣了解有关实施 Braze 和我们的 SDK 的更多信息吗？ 查看我们的 SDK 101 文档页面和我们在 Braze (LAB) 课程中的技术集成清单和工具包学习。

好奇 Braze SDK 的下一步是什么？ 查看我们的 2022 年春季产品发布，了解有关发布适用于 Android、iOS 和 Web 的下一代 SDK 的更多信息。