0
我正在構建與在線Web服務進行通信的Android應用程序。我計劃在GitHub上發佈應用程序的源代碼。對於我的生產版本,它將利用我的個人網絡服務,我想只允許我的數字簽名apk連接。確認與密鑰庫的APK身份
是否可以請求APK的密鑰庫並確認該密鑰庫的用戶名/密碼?
如果這是不可能的,我該怎麼產生這個功能?
編輯:
我已經讀入類Certificate它看起來像我也許能對用戶的公鑰/私鑰,以確認身份。但我仍然不確定的實現
A
回答
1
我用這個的 -
static public String getPackageFingerPrint(Context ctx) {
PackageManager pm = ctx.getPackageManager();
String packageName = ctx.getPackageName();
int flags = PackageManager.GET_SIGNATURES;
PackageInfo packageInfo = null;
try {
packageInfo = pm.getPackageInfo(packageName, flags);
} catch (NameNotFoundException e) {
return "";
}
Signature[] signatures = packageInfo.signatures;
byte[] cert = signatures[0].toByteArray();
InputStream input = new ByteArrayInputStream(cert);
CertificateFactory cf = null;
try {
cf = CertificateFactory.getInstance("X509");
} catch (CertificateException e) {
return "";
}
X509Certificate c = null;
try {
c = (X509Certificate) cf.generateCertificate(input);
} catch (CertificateException e) {
return "";
}
try {
MessageDigest md = MessageDigest.getInstance("SHA1");
byte[] publicKey = md.digest(c.getPublicKey().getEncoded());
StringBuffer hexString = new StringBuffer();
for (int i=0;i<publicKey.length;i++) {
String appendString = Integer.toHexString(0xFF & publicKey[i]);
if(appendString.length()==1)hexString.append("0");
hexString.append(appendString);
}
return hexString.toString();
} catch (NoSuchAlgorithmException e1) {
return "";
}
}
我用你的方法看到的問題是,任何人都可以決定包指紋或你的包,並將其發送到您的Web服務。更好的可能性是使用質詢 - 響應機制:您的Web服務向您發送一個唯一的會話令牌,您的應用使用共享算法加密或摘要,然後將此加密的令牌發送回您的服務進行驗證。當然,你不想將這個算法發佈到github上。
0
您無法將Web服務限制爲由特定密鑰簽名的apks。
您的apk的簽名得到了Android操作系統的驗證,並且不直接與設備連接的Web服務共享。即使您從密鑰庫中讀取簽名並將其與請求一起發送,攻擊者也可能只是發送相同的簽名(例如相同的字節流)而無需訪問您的私鑰。他只需要抓住已簽名的apk,從密鑰庫中讀取字節(或者聽取合法請求)並破壞數據。
您需要簽署具有一定安全級別的個別請求。但是,如果你保留一個私鑰在發佈版本(密鑰沒有分佈在gitHub上),並使用該密鑰簽名請求,那麼你不安全,因爲私鑰是作爲apk的一部分分發的,因此可以輕鬆提取。
以任何方式您的API可以被其他apks訪問。
但是,可能有另一種方法來限制您的API,例如通過使用許可令牌等。在這種情況下,您可能不在乎用戶是否自己構建apk,只要他擁有有效的許可證令牌。如果許可證令牌被利用和分發,您可能會對該許可證令牌中的大量流量做出反應,例如阻止它接受進一步的請求。由於我不使用Google Play,因此我不確定他們可以從服務器獲得多少驗證,但application licensing portal是搜索合適令牌的好起點。
相關問題
- 1. 錯誤與密鑰庫APK團結
- 2. 試圖設置與firebase身份驗證確認密碼
- 3. 帶密鑰的身份驗證用戶
- 4. Cookie或RESTful密鑰的身份驗證?
- 5. SQL查詢表上的身份密鑰
- 6. Unity爲apk簽名使用什麼默認密鑰庫?
- 7. 密鑰保管庫密鑰與祕密
- 8. 在不同的計算機上簽名與密鑰庫的apk
- 9. Kerberos身份驗證密鑰表KVNO
- 10. EhCache:什麼是用於密鑰身份?
- 11. 應用程序身份驗證密鑰
- 12. 組合鍵和分離身份密鑰
- 13. SQL鍊金術NULL身份密鑰
- 14. Swift Api密鑰身份驗證
- 15. Git Bash是否通過ssh密鑰確定身份?
- 16. 摘要身份驗證與祕密/公鑰
- 17. Node.js:使用唯一公鑰對客戶端進行身份驗證(與Github SSH密鑰身份驗證類似)
- 18. 與密碼確認
- 19. 可以備份Android的密鑰庫嗎?
- 20. 簽名APK - 密鑰是否是私鑰?
- 21. 該類不是密鑰值編碼兼容的密鑰XXX - 類正確確認?
- 22. 如何確認mysql數據庫中的密鑰列表存在
- 23. TLS認證的密鑰庫Trustores
- 24. 默認Java密鑰庫包含哪些密鑰?
- 25. React Native:嘗試生成apk文件時「無法從密鑰庫讀取密鑰」
- 26. 確認.NET身份電子郵件Bool
- 27. 與Instagram的asp.net身份認證
- 28. 解析REST API密鑰中斷客戶端密鑰身份驗證
- 29. Laravel 4身份驗證與Facebook(無密碼身份驗證)
- 30. CodeIgniter身份驗證庫(由admin用戶確認)
密鑰庫中的用戶名/密碼?如果我正確理解你,你想限制你的web服務到你簽名的apks? – dst
這是正確的,現在唯一可以想象的方法是確認apk是由我用我的用戶名/密碼進行數字簽名的。 – KDEx
你用一個用戶名簽名?怎麼樣? – dst