Android應用程序中的亞馬遜訪問憑證

Question

亞馬遜雲服務（AWS）提供了可隨時使用的庫，以便從Android應用程序直接撥打SDB，S3，SNS等。這使不熟悉Web服務和Web應用程序的移動開發人員很容易創建完全可擴展的基於雲的應用程序。 我們給這些API調用中的Amazon Access憑證連接到我們的雲賬戶;我的問題是：

1. 如何在應用程序中有效使用密鑰輪播，因爲我將分發應用程序，一旦密鑰更改可能意味着對現有用戶造成周期性中斷。
2. 對代碼內部的Amazon Access Credentials進行硬編碼（作爲字段常量等）會使它容易被提取？通過反編譯等？

Answer 1

我跟亞馬遜倡導我們的區域，他告訴記者，亞馬遜的客戶端庫不設計這樣一個目的。

• 它可以用於內部應用程序（未發佈），如客戶端演示應用程序。
• 如果您將憑證與要在公開市場發佈的應用程序捆綁在一起（不推薦），請使用IAM並創建具有受限訪問權限的單獨憑據。
• 如果您正在構建一個類似Instagram的應用程序，您可能需要設置一個Web服務器來代理您對亞馬遜的調用（有效地使客戶端庫無用）。

顯然，我不是很確信。我認爲整個亞馬遜通信的客戶端庫（繞過對Web服務器的需求）對移動開發者來說可能是一個很大的優勢。

Answer 2

回覆：

會硬編碼裏面的代碼亞馬遜訪問憑據（如現場恆等），使其易受提取？通過反編譯等？

是的，通過在二進制文件中查找字符串和模式。也反編譯，但通常沒有必要。

第一個問題是，您試圖防​​範哪種威脅？政府？付費黑客？或者你只是想通過應用程序獲得訪問權限並不容易？

• 限制訪問鍵只能訪問應用程序需要的數據。
• 將這些密鑰存儲在應用程序中，分幾塊。以某種方式修改它們（例如ROT47），然後在發送到服務時重新組合。
• 請勿將所有關鍵信息放入應用程序中。需要使用其他安全設備，例如Amazon MFA
• 安裝監控可檢測可能表明從應用外部訪問的異常訪問模式。