处理iOS项目的使用者密钥和机密

时间:2019-06-29 16:47:26

标签: ios xcode http oauth

作为初学者,我想问几个问题。我正在开发一个iOS项目,该项目将使用Twitter和Instagram等API。我主要这样做是为了学习如何使用API​​,学习使用HTTP,学习Alamofire之类的库等,同时总体上更熟悉iOS中的Swift和UI构建。

我的具体问题是关于我的用户密钥(在本例中为Twitter)。在很多地方都问过类似的问题,我也对其进行了研究,但我找不到确切的答案。

很显然,我不希望我的客户端秘密和客户端密钥在我的代码和github页面中可见。我已经读过有关为此使用环境变量的信息,但是(尽管我没有那么多经验),这听起来好像秘密仍在应用程序中,并且可以通过某种方式反编译。

简而言之,我应该如何处理密钥和机密?如果我设法将其安全地存储在某个地方并从我的代码中访问它,那么有人是否仍然能够看到发送给密钥提供者(例如Twitter)的HTTP请求中的密钥和秘密?

此外,还有一个小问题是关于我在Twitter(here)上看到的回调URL规则,在该规则中,如果您为应用程序使用URL方案,则它们要求您使用类似以下的内容:< / p>

myURLScheme-CONSUMERKEY://

与密钥相比,用户密钥有多敏感?在Safari浏览器视图中使用此命令将用户重定向回应用程序是否安全?该应用程序的用户是否可以中断/窃取它?

我希望问题清楚。真的欢迎所有评论和建议。

0 个答案:

没有答案