【问题标题】:Securing secret keys in Android在 Android 中保护密钥
【发布时间】:2014-02-18 20:33:46
【问题描述】:

我有一个做一些支付操作的网络服务,所以它非常关键。当然它有一个秘钥,没有就不能调用。

我假设我的 .apk 文件迟早会被反编译并且代码将是可读的。现在,如果我决定通过调用另一个服务来接收该密钥,该服务的 url 将存储在我的代码中,但我刚刚说过它不安全,不能隐藏!

在这种情况下最好的方法是什么?

【问题讨论】:

  • 为什么要把秘钥放在应用中?大概有一个服务器组件。使用那里的秘密并将公钥放置在您的应用中。
  • @Mike W:如果我能理解你的话,在我的应用程序中放置公钥不是很危险吗?我不需要让可能的黑客调用我的服务并窃取我的内容。
  • 我误解了您使用术语的问题。如果这是您的问题,那么您需要让用户以某种方式进行身份验证。也许强制登录一次,并在那时为每个用户提供一个唯一的密钥。一旦颁发唯一密钥并将其存储在设备上,就无需登录。您可能会定期重复该过程,并可能将密钥与特定于设备的 ID(可能是 IMEI 号码?)联系起来
  • 谢谢,这很有帮助。

标签: android web-services security


【解决方案1】:

我不是安全专家,但我想oAuth 会是一个不错的选择。像谷歌这样的网站使用它来进行身份验证,而且它是安全的。用户需要使用他的凭据登录,并且应用程序会收到一个 oAuth 令牌和密钥以进行 API 调用。

在这种情况下,反编译应用程序不会帮助黑客,因为他仍然需要用户的凭据。

它需要在服务器端和客户端进行更改,但我认为这不是问题,因为在这种情况下安全性更为重要。

【讨论】:

  • 谢谢,你是对的。但是如果我的应用程序没有登录怎么办?
  • 在这种情况下,它是不安全的。每个人都可以使用 [wireshark.org/download.html](Wireshark) 来跟踪 URL 调用并进行完全相同的调用。您可以通过使用算法向请求添加一个仅在几秒钟内有效的值来使其更难,但这远非“安全”。
猜你喜欢
  • 1970-01-01
  • 1970-01-01
  • 2015-09-11
  • 2011-02-01
  • 2016-05-12
  • 2016-10-10
  • 1970-01-01
  • 1970-01-01
  • 1970-01-01
相关资源
最近更新 更多