我有一个支付操作的网络服务,因此非常关键。当然它有一个秘密密钥,不能没有。
我会假设我的.apk文件迟早会被反编译并且代码可读。现在,如果我决定通过调用另一个服务来接收该密钥,那么该服务的url将存储在我的代码中,但我只是说它不安全且无法隐藏!!
在这种情况下,最好的方法是什么?
答案 0 :(得分:1)
我不是安全专家,但我猜oAuth是个不错的选择。像谷歌这样的网站使用它进行身份验证,这是安全的。用户需要使用他的凭据登录,并且应用程序接收oAuth令牌和密钥以进行API调用。
在这种情况下,反编译应用程序将无助于黑客,因为他仍然需要用户的凭据。
它需要在服务器端和客户端都进行更改,但我不认为这是一个问题,因为在这种情况下安全性更重要。