我正在使用JWT进行身份验证。我使用了signedKey来编码我的令牌。我想将signingKey存储在客户端的安全位置(避免硬编码)。 我本来希望使用android密钥库;但到目前为止,我只是设法使用JDK keytool创建一个密钥库来签署我的应用程序。
我的问题是:在部署到设备之前,有没有办法可以将密钥存储在与我的应用程序关联的密钥存储区内,以便我可以检索应用程序内的密钥并使用它来签署JWT?
如果没有,我的其他选择是什么?
我在Xamarin上开发。我的后端是ASP .Net,部署在Azure上。
答案 0 :(得分:2)
我不知道如何使用App内的密钥库来实现。但我通过将其存储在JAR / .SO文件中来完成它。这在App内部被混淆,并且无法通过逆向工程获得。
虽然这种方法只能解决逆向工程问题,但最好的办法是与服务器一起避免网络拦截问题