Phonegap應用程序安全 - API密鑰和代碼

我正在使用Phonegap構建Android應用程序。這些應用程序使用其餘的API。但是我對API密鑰的安全性有嚴肅的問題。我一直在尋找答案，但問題沒有得到很好的回答。如你所知，android apk可以被提取，並且Phonegap文件夾可以被反向設計。我有這些問題/可能的解決方案：Phonegap應用程序安全 - API密鑰和代碼

有沒有一種方法（可能是插件）密碼保護「www」文件夾？所以當有人提取一個apk時，必須有一個密碼來保護phonegap文件。我提取了許多apks，並在基於Phonegap的許多應用程序中看到了這一點。
有沒有辦法在config.xml中保存API密鑰並使用JS讀取它？
有沒有一種方法來安全驗證phonegap應用程序，而不使用像Facebook，谷歌，linkedin或Twitter的登錄身份驗證？這是在不需要登錄的簡單應用程序的情況下，但仍然使用這些API

我已經使用了Javascript混淆。但需要更強大的選項。任何人都可以幫忙嗎？

來源

2017-04-15 Siddharth Mehta

說實話，API密鑰的反向工程就像安裝了網絡監視器應用程序或在根設備上查看logcat一樣簡單。 –

完成此操作的最佳方法是（如果您無法控制API）。要設置您自己的服務器端API存儲您的憑證，然後使用該API向另一個API發出請求，那麼您的API可以發送迴應。像這樣想一想。

APP>您的API> API>您的API> APP

來源

2017-04-15 11:59:18

嗨L Balsdon。感謝您的建議。實際上，我使用我自己的API，用於獲取一些AI處理的內容。算法運行在服務器上。但API密鑰駐留在apk中（在混淆的JS中）。該應用程序應該是一個簡單的內容應用程序，不需要用戶身份驗證或登錄。因此，我擔心這個API很容易受到攻擊，任何可以訪問apk的人都可以直接使用API。 –

我認爲這是最好的前進方向。使用你的方法使事情變得更好。試過了。標記正確。謝謝:) –

謝謝，沒有問題很高興我可以幫忙。 –

我覺得

https://github.com/tkyaji/cordova-plugin-crypt-file

插件可以幫助你的周圍。它仍然會在運行時解密這些東西。

此主題也有類似的話題。

How to encrypt the content assets folder in phonegap android application

希望這有助於。 :)

來源

2017-04-15 13:25:07

謝謝Rajith :)我認爲L Balsdon的方法可以幫助保護API。標記它是正確的。儘管你的回答也增加了價值。 –

Phonegap應用程序安全 - API密鑰和代碼

回答

相關問題