kimjuny
kimjuny
采纳率0%
2015-01-23 04:10 阅读 4.2k

第三方的key和secret存放在移动客户端是不是非常不安全?

5

在开发应用的过程中会用到很多第三方的功能,比如大众点评的API,即时通讯环信,短信发送等等。
这些接口通常都需要我们去根据应用来申请使用权限即key和secret,通常这两样都是字符串。现在的问题是,这样的权限字符串如果存储在客户端(比如安卓客户端)是不是非常不安全?
即使客户端做过代码混淆,这样的常量字符串貌似还是会出现在反编译后的代码块中,对吗?
请问那要如何避免key和secret被截获?

  • 点赞
  • 写回答
  • 关注问题
  • 收藏
  • 复制链接分享

6条回答 默认 最新

  • danielinbiti danielinbiti 2015-01-23 04:29

    1、把文件进行一定加密
    2、通过远程从服务器上获取后再使用,可以登录的时候初始化获取。

    点赞 评论 复制链接分享
  • 91program 91program 2015-01-23 04:54

    避免key和secret被截获,明码肯定是避免不了,加密是解决问题的办法。
    至于如何加密(公钥/私钥之类),用多少位加密,这就要看你的实现。简单的代码混淆肯定是不行的!

    点赞 评论 复制链接分享
  • testcs_dn 微wx笑 2015-01-23 05:34

    加密后再保存。或者把一部分功能放到服务器端去实现。

    点赞 评论 复制链接分享
  • zaiguo zaiguo 2015-01-24 04:44

    首先提供api的服务端要有一套安全的机制,比如说定时刷新token的机制。
    在就是客户端储存密钥一定是不安全的,即使对称加密页游被破解的风险,所以安全级别高的密钥建议还是放在服务端。

    点赞 评论 复制链接分享
  • pbymw8iwm 高司机 2015-01-26 09:09

    secret或者key一般都是放在服务器去验证的,防止黑客或者懂得编程的人破解

    点赞 评论 复制链接分享
  • pbymw8iwm 高司机 2015-01-26 09:09

    一般key或者secret都是放在服务器端验证的,在客户端即使加密了,也不乏黑客或者懂得编程的开发人员解密的

    点赞 评论 复制链接分享

相关推荐