我必须从iOS代码中调用支付网关API。问题是它需要商家凭证,我觉得将商家凭证嵌入代码中是不安全的。如果有人以某种方式对代码进行反向工程并获得凭据,那么客户端就已经死了。有什么建议吗?
我发现这篇帖子Does Apple modify iOS application executables on apps submitted to the App Store?表示Apple二进制文件是Apple加密的默认设置。这是否意味着我可以安全地将凭证嵌入代码中?
答案 0 :(得分:2)
NO!您应该考虑设置一个处理与API交互的服务器,而不是将凭据添加到iOS应用程序,而是让应用程序仅与您的服务器进行交互。因此,您可以将API密钥存储在您的服务器上,并可以限制用户在服务器端的可能性(这将更难滥用)。