使用REST-API的Android:验证APK签名

时间:2014-08-04 13:34:51

标签: android rest digital-signature android-keystore

简单问题:如何在服务器端验证HTTP请求是否来自使用我的密钥签名的APK?

我可以通过

获取签名

Signature[] sigs = context.getPackageManager().getPackageInfo(context.getPackageName(), PackageManager.GET_SIGNATURES).signatures;

但这并不能阻止用户修改API并替换代码的那部分。

2 个答案:

答案 0 :(得分:0)

.apk是您的代码的编译版本,因此用户无法修改代码(理论上),因此签名应该是唯一的。

答案 1 :(得分:0)

除非您控制整个系统,否则您无法控制,包括硬件设备(透明代理除外)。然后,您可以加密APK文件。

否则你会回到历史悠久的DRM问题。