IOS应用程序中的硬编码

Question

我们有一个 IOS 应用程序，它通过 SSL 连接连接到 API/服务器。 SSL 密钥已在 APP 中硬编码，SSL 证书已过期，现在该应用程序无法运行。

第一季度。我们希望避免将应用程序提交到商店，因为更新应用程序需要长达 2 周的时间。

第二季度。我们还想从 CDN/store 获取 SSL 密钥，这样我们就不会对其进行硬编码。但是当我们调用 store 时，我们如何确保它的安全连接？

摆脱这种情况的最佳方法是什么？

Answer 1

很抱歉，除了上传新应用外，可能没有其他办法。在这里你可以看到users to get App approved 平均需要多长时间 - 它没有 2 周那么糟糕，它可以更短（特别是如果它是更新的，根据我的经验，这些通常需要更少的时间）

所以对于第二个问题，我建议你不要这样做。这些密钥应该存在于设备上，无论如何您都必须使用新的代码库更新应用程序。

您也可以更新密钥，然后在需要时提前更新密钥（它不会每个月过期，如果您有生产应用程序，您可能会不时更新它）。

如果您真的需要下载密钥，那么最安全的方法可能是在服务器端加密密钥，将其发送到设备并在设备上解密（可能使用 AES128、256 或类似的东西）。您还可以使用带有过期时间的签名下载链接来增加额外的安全层（fe. amazon S3 存储桶提供该功能）。

希望对你有帮助！

Answer 2

我认为你可以使用Google Tag Manager。您可以通过 GTM 发布新证书，而不是重新提交新的 ipa。