在使用认证固定开发时,使用https证书不会信任第三方,而是将其存储在设备上。如果我逆向工程安卓apk,我将无法访问此证书?我意识到它的公开,但我可以用它来做中间人的攻击,对吗?我应该把证书放在哪里,以便没有人可以访问它?我有* .cer证书文件位于android的资源文件夹中,但需要知道它将有多安全。
答案 0 :(得分:0)
证书不是秘密,所以不要担心有人会对您的证书进行逆向工程。要固定证书,只需将服务器的证书嵌入到您的应用程序中即可。然后在运行时,当服务器向您发送证书时,将其与您嵌入的证书进行比较,以确保它们是相同的。在添加中执行所有通常的SSL / TLS验证。