目前,根据quickblox的示例应用程序,帐户密钥,服务密钥和服务密钥存储在应用程序本身中。
我担心的是,任何人都可以轻松地对应用程序进行逆向工程以获取这些机密并创建任意数量的虚假帐户来吸引其他用户(甚至删除帐户?)。
或者,即使我在服务器上生成会话令牌,用户也可以获得此令牌并(根据我的理解)实现与上述相同的功能。
我想要的是为用户提供足够的信息,使用他的服务器生成的凭据和发送/接收消息进行登录。
有没有办法实现这个目标?也许就像在服务器上创建一个只允许登录和聊天的会话。
答案 0 :(得分:0)
正确的方法是模糊您的帐户密钥,服务密钥和服务密钥值
有很多方法可以做到这一点,ProGuard也可以提供帮助
您还可以在服务器端创建会话令牌,并通过某种方式将此令牌传递给您的应用,例如,使用此类API的另一个后端,以便最终用户从该API请求令牌,然后再使用它withiut将任何感性数据存储在应用程序中