【发布时间】:2014-02-18 20:33:46
【问题描述】:
我有一个做一些支付操作的网络服务,所以它非常关键。当然它有一个秘钥,没有就不能调用。
我假设我的 .apk 文件迟早会被反编译并且代码将是可读的。现在,如果我决定通过调用另一个服务来接收该密钥,该服务的 url 将存储在我的代码中,但我刚刚说过它不安全,不能隐藏!
在这种情况下最好的方法是什么?
【问题讨论】:
-
为什么要把秘钥放在应用中?大概有一个服务器组件。使用那里的秘密并将公钥放置在您的应用中。
-
@Mike W:如果我能理解你的话,在我的应用程序中放置公钥不是很危险吗?我不需要让可能的黑客调用我的服务并窃取我的内容。
-
我误解了您使用术语的问题。如果这是您的问题,那么您需要让用户以某种方式进行身份验证。也许强制登录一次,并在那时为每个用户提供一个唯一的密钥。一旦颁发唯一密钥并将其存储在设备上,就无需登录。您可能会定期重复该过程,并可能将密钥与特定于设备的 ID(可能是 IMEI 号码?)联系起来
-
谢谢,这很有帮助。
标签: android web-services security