我一直在做一个涉及宁静的网络服务的Android项目。保持API密钥安全的最佳方法是什么。我在网上看了很多。许多人说保持密钥在服务器中并使用它是安全的,并且它是安全的。我不明白这意味着什么。根据我的理解,在服务器中保存密钥意味着应用程序需要在操作期间通过使用volley或任何其他httpclient通过提供URL来获取它。攻击者可以反编译apk文件并查看获取密钥的URL,获取密钥并执行其令人讨厌的工作。我弄错了吗?如何在服务器中存储API密钥是安全的?请帮我理解。
答案 0 :(得分:0)
你应该使用Android Keystore和SharedPreferences写一些类似SecureStorage的内容并将字符串放入其中。我们目前正在开发这样一个库 - >看看here