我构建了一个安静的API,我们通过app id& amp;应用秘密。但是我们知道Android应用程序的逆向工程是一项非常简单的任务,所以任何人都可以这样做并使用这些秘密进行调用。
我的问题:从Android应用程序保护api调用的最佳方法是什么?
方式和谷歌使用包名和哈希,是否与我正在采取的安全性有关?
答案 0 :(得分:1)
你为什么硬编码那些东西?您可以创建登录屏幕并将信息从服务器发送到服务器。然后,服务器执行标识并向您发送会话令牌(此外,它只能在特定时间段内有效)。 一般来说,我们必须假设可以被黑客攻击的内容已经被黑了。