【问题标题】:How does facebook/google/linkedin etc verifies SHA hash or app signing certificatefacebook/google/linkedin 等如何验证 SHA 哈希或应用签名证书
【发布时间】:2016-09-21 22:51:00
【问题描述】:

所有,faceboo/google/linkedin 都要求您生成签名密钥的哈希值,并将其与应用程序的捆绑名称一起注册,以便访问登录名/个人资料等。

如果您尝试使用不同的包名称或不同的证书来签署应用程序,他们只会拒绝为请求提供服务。

我的问题是,他们是如何做到的。如何在服务器端的 API 中验证用于签署应用程序的签名证书的哈希。我想对我的应用程序进行类似的检查,并且我想确保使用特定密钥签名的应用程序只能访问 API。

【问题讨论】:

    标签: android facebook hash sdk certificate


    【解决方案1】:

    您可以通过PackageManager#getPackageInfo() 检索 APK 签名信息,计算哈希并将其传递给您的服务,以便与注册时之前存储的值进行比较。

    Facebook SDK is doing也是这样。

    【讨论】:

    • 当然它不会确保使用特定密钥签名的应用程序只能访问API。 ...因为很容易从任何应用程序获取签名然后模仿使用此签名对某些 Web 服务的 API 调用
    猜你喜欢
    • 1970-01-01
    • 2014-12-10
    • 2015-10-03
    • 2015-11-01
    • 2012-09-08
    • 2021-01-09
    • 2015-03-03
    • 2021-02-17
    • 1970-01-01
    相关资源
    最近更新 更多