【问题标题】:How is Google verifying SHA1 and package name in API calls?Google 如何在 API 调用中验证 SHA1 和包名称?
【发布时间】:2014-11-10 14:53:37
【问题描述】:

在 API 控制台中注册 Android 应用以访问 Google API 时,您必须输入应用的 SHA1 证书指纹和应用的包名称。

现在我想知道当 api 调用只是简单的 HTTP 请求时,Google 如何验证这些值是否正确(在最简单的情况下,当您不使用他们的 API 客户端时,可能会附加一些标头值)?调用 API 时必须提供 API 密钥,但这并不能证明输入的值是正确的。

【问题讨论】:

  • >"simple HTTP requests" 你是什么类型的请求?也许该请求是公开的。

标签: java android security google-api google-authentication


【解决方案1】:

如果您不使用 Google Utils/SDKs/API 客户端,则必须手动传递这些标头。

如果您限制了您的 android 或 ios 应用程序的 API 密钥,则必须传递以下标头-

Android 标头:

{
  'x-android-package': 'com.example',
  'x-android-cert': '50FEC39F742F3DF212BDC2131A99C7D3C82086F6'
}

这里x-android-cert标头的值是不带分号的签名密钥的SHA1指纹。

从密钥库文件中获取 SHA1 指纹-

keytool -list -v -keystore ~/.android/debug.keystore -alias androiddebugkey -storepass android -keypass android

从签名的 apk/bundle 中获取 SHA1 指纹-

keytool -printcert -jarfile ~/Downloads/app-release.aab

keytool -printcert -jarfile ~/Downloads/app-release.apk

ios 标头:

{
  'x-ios-bundle-identifier': 'com.example' 
}

这里com.example 是包标识符。

下面是class in Java,我认为它在原生 Places SDK 中做同样的工作-

/**
 * Intercepts requests and provides Android-specific headers so that API key restrictions can be
 * enforced.
 */
public class AndroidAuthenticationInterceptor implements Interceptor {

  ...

  @NotNull
  @Override
  public Response intercept(@NotNull Chain chain) throws IOException {
    ...

    final Request.Builder builder = chain.request().newBuilder();
    if (config.packageName != null) {
      builder.addHeader(HttpHeaders.X_ANDROID_PACKAGE, config.packageName);
    }

    if (config.certFingerprint != null) {
      builder.addHeader(HttpHeaders.X_ANDROID_CERT, config.certFingerprint);
    }

    return chain.proceed(builder.build());
  }
}

参考资料-

  1. Restricting usage for an Android key for a Google API
  2. How do I find out which keystore was used to sign an app?
  3. https://developers.google.com/maps/api-security-best-practices
  4. https://github.com/googlemaps/google-maps-services-java/blob/9852dbae5d2c10897ad7a8dd4befcd171a2cd48e/src/main/java/com/google/maps/android/AndroidAuthenticationInterceptor.java
  5. https://github.com/googlemaps/google-maps-services-java/blob/main/src/main/java/com/google/maps/internal/HttpHeaders.java

【讨论】:

    【解决方案2】:

    您可以很容易地获得包名以及已安装应用程序的 sha 1 指纹。

    private void printSha1() {
        List<ApplicationInfo> mAppList = getPackageManager().getInstalledApplications(0);
        for (ApplicationInfo info :mAppList) {
            Log.d(TAG, "Package Name: " + info.packageName);
            Log.d(TAG, "Sha1: " + getCertificateSHA1Fingerprint(info.packageName));
        }
    }
    
    private String getCertificateSHA1Fingerprint(String packageName) {
        PackageManager pm = getPackageManager();
        int flags = PackageManager.GET_SIGNATURES;
        PackageInfo packageInfo = null;
        try {
            packageInfo = pm.getPackageInfo(packageName, flags);
        } catch (PackageManager.NameNotFoundException e) {
            e.printStackTrace();
        }
        Signature[] signatures = packageInfo.signatures;
        byte[] cert = signatures[0].toByteArray();
        InputStream input = new ByteArrayInputStream(cert);
        CertificateFactory cf = null;
        try {
            cf = CertificateFactory.getInstance("X509");
        } catch (CertificateException e) {
            e.printStackTrace();
        }
        X509Certificate c = null;
        try {
            c = (X509Certificate) cf.generateCertificate(input);
        } catch (CertificateException e) {
            e.printStackTrace();
        }
        String hexString = null;
        try {
            MessageDigest md = MessageDigest.getInstance("SHA1");
            byte[] publicKey = md.digest(c.getEncoded());
            hexString = byte2HexFormatted(publicKey);
        } catch (NoSuchAlgorithmException e1) {
            e1.printStackTrace();
        } catch (CertificateEncodingException e) {
            e.printStackTrace();
        }
        return hexString;
    }
    
    public static String byte2HexFormatted(byte[] arr) {
        StringBuilder str = new StringBuilder(arr.length * 2);
        for (int i = 0; i < arr.length; i++) {
            String h = Integer.toHexString(arr[i]);
            int l = h.length();
            if (l == 1) h = "0" + h;
            if (l > 2) h = h.substring(l - 2, l);
            str.append(h.toUpperCase());
            if (i < (arr.length - 1)) str.append(':');
        }
        return str.toString();
    }
    

    如果您运行此代码,它将打印包名称及其 sha 1 打印。这是您在创建 API 密钥时提供的两件事,因此 Google 将这两件事与它生成的密钥进行映射。

    正如您所看到的,它可以访问包名称及其 SHA 1 打印,剩下的另一件事是您通过代码或通过 xml(Manifest,单独的 xml 配置文件)。

    因此,每当 Google 为您提供任何服务时,它都可以检查您从 API 控制台生成密钥时生成的相关映射。

    包名代码取自here

    【讨论】:

      猜你喜欢
      • 2015-10-13
      • 2019-07-20
      • 1970-01-01
      • 2012-02-05
      • 1970-01-01
      • 1970-01-01
      • 2019-10-23
      • 2013-09-12
      • 1970-01-01
      相关资源
      最近更新 更多