4
我有一些REST API密鑰(Google地方等),我想要保護。閱讀Google網上論壇,看起來混淆不是一種解決方案,也不是使用Keychain的解決方案,所以當IPA包可以解壓縮和閱讀時,如何建議加密/保護敏感信息? (我不想在Objective-C中重寫應用程序)。保護PhoneGap中的敏感信息?
我有一些REST API密鑰(Google地方等),我想要保護。閱讀Google網上論壇,看起來混淆不是一種解決方案,也不是使用Keychain的解決方案,所以當IPA包可以解壓縮和閱讀時,如何建議加密/保護敏感信息? (我不想在Objective-C中重寫應用程序)。保護PhoneGap中的敏感信息?
如果您可以自行選擇託管Web服務,則可以讓設備與您自己的服務器通話,而不是與Google的服務器通話。它將充當代理:設備使用您選擇的方案向您的服務進行身份驗證,並且永遠不會看到安全地放置在您的服務器上的API密鑰。這個過程與它在網站上的工作方式非常相似(瀏覽器也不直接與後端服務提供商對話,而是由Web服務器代表它進行)。
您是否可以選擇託管可以充當API代理的自己的服務器? – Thilo 2012-04-14 11:57:49
謝謝。什麼會阻止某人從設備中嗅探交易,然後直接濫用REST api/calls到代理?我沒有看到我可以如何驗證從移動設備到代理的呼叫,這不像我可以將IP地址列入白名單等! – user715697 2012-04-14 12:11:41
API密鑰只會在您的代理和Google地方信息之間傳輸。該設備沒有它。您使用您自己的獨立模式對設備進行身份驗證。這與代表用戶進行API調用的Web服務相同。 – Thilo 2012-04-14 12:48:25