我正在创建一个通过API连接到服务器的Android应用程序。我担心安全问题,就我而言,任何人都可以反编译您的.apk并查看或修改您的代码。
知道我在哪里需要保存应用程序内的API密钥,以避免一些坏人窃取它并访问服务器,例如,修改我的数据库?
由于
答案 0 :(得分:0)
了解攻击者在您的申请后将如何处理,95%的时间按此顺序:
使用Burp之类的拦截代理检查应用程序与服务器之间的流量 - 非常容易。看看我是如何在Words With Friends here上做的(这适用于iOS设备,但同样的概念适用于Android)。
您可以使用certificate pinning停止流量检查,但他们可以通过在Android上使用设备并使用一些黑客工具来解决这个问题。所以你需要Android root detection。
另一个攻击是扫描您的二进制文件。您需要使用DexGuard等工具对其进行模糊处理。
这些方法都不是防弹的:通常试图隐藏客户端代码中的秘密是losing game。不要付出太多努力而不是它的价值。