【发布时间】:2017-04-15 06:57:19
【问题描述】:
我正在使用 Phonegap 构建 Android 应用程序。这些应用程序使用 REST API。但我对 API 密钥的安全性有严重的疑问。我一直在到处寻找答案,但问题没有得到很好的回答。如您所知,可以提取一个 android apk,并且可以对 Phonegap 文件夹进行逆向工程。我有这些问题/可能的解决方案:
- 有没有办法(可能是插件)用密码保护“www”文件夹?因此,当有人提取 apk 时,必须有一个密码来保护 phonegap 文件。我提取了许多 apk,并在许多基于 Phonegap 的应用上看到了这一点。
- 有没有办法将 API 密钥保存在 config.xml 中并使用 JS 读取?
- 有没有一种方法可以在不使用 facebook、google、linkedin 或 twitter 等登录身份验证的情况下安全地验证 phonegap 应用程序?这适用于不需要登录但仍使用这些 API 的简单应用
我使用了 Javascript 混淆。但需要一个更强大的选择。 任何人都可以帮忙吗?
【问题讨论】:
-
老实说,对 API 密钥进行逆向工程就像安装网络监控应用程序或在有根的 Android 设备上查看 logcat 一样简单。
标签: cordova security phonegap-plugins phonegap-build phonegap-cli