我确定之前有人问过这个问题,但我很难在网上找到答案,因为大多数答案都与OAuth有关或建议切换到OAuth。
我正在使用第三方服务,要求我使用API密钥或客户端ID密钥。实际上,有几个。这是我应用的所有用户的单一密钥。我正在为iOS和Android开发。
在我目前的测试版中,一切都很完美,除了我担心安全性。关键是我的源代码。因此,几乎可以肯定,它在二进制文件中,因此可以检索它。
事实上,其中一个API密钥提供商特别指出密钥不应嵌入移动应用程序中。
那么......我应该如何利用这些数据服务?例如,像Twitch和YouTube API这样的东西。你必须提交一个客户端ID(Twitch在8月份强制要求),看起来你必须将它嵌入到应用程序中。
获得保障的方法是什么?特别是如果服务器不做OAuth?