安全存储凭据

时间:2014-01-30 13:24:48

标签: android

我们的应用程序需要附带多个用户名,密码和令牌才能访问其他基于Web的服务。我已经做了相当多的谷歌搜索,但无法弄清楚如何发送安全存储的凭据的应用程序。任何有关如何实现这一目标的建议都将受到赞赏。

2 个答案:

答案 0 :(得分:3)

由于必须对应用程序进行解密才能使用,因此无法安全地执行此操作,除非您在安装后让人们下载信息,但仍需要获取信息才能获取数据。申请使用它。

如果您不想信任该用户,最安全的方法是让他们将请求发送到您的服务器,然后您的服务器使用自己的凭据转到感兴趣的网站并返回数据给用户。

这样一来,数据就会在一个地方受到保护。

否则如果他们努力尝试,有人可以获得凭证。

答案 1 :(得分:3)

在一天结束时,您在.apk文件中打包的是一个Java字节码,如果您使用Google“反向工程java字节代码”,那么您将获得有关如何提取该文件信息的工具和tutos。我可以想到一些好的做法,这些做法可以帮助您提高应用程序的安全性,具体取决于您愿意在多大程度上开展工作:

  • 亲卫:那是一个给予,使用亲卫!
  • 您可以使用一些小技巧使事情变得更复杂,以加密格式存储所有这些字符串并在运行时解密它们。
  • 作为最后一点的一个不错的附加组件:在您的开发人员控制台上,您将找到“此应用程序的许可证密钥”。您可以使用该密钥在开发期间压缩信息,并在运行时从Google Play获取值以使用它进行解密。有关它的更多信息HERE
  • 此许可证密钥也可用于验证应用程序的真实性。
  • 您还可以将这些密钥构建为本机库。存储在C ++编译代码中的字符串比字节码更复杂。

总而言之,这个链接可能是一个很好的读物:http://developer.android.com/training/articles/security-tips.html