Phonegap App Security - API 密钥和代码
Phonegap App Security - API keys and code
我正在使用 Phonegap 构建 Android 应用程序。这些应用程序使用 rest APIs。但是我对 API 密钥的安全性有严重的疑问。一直在到处寻找答案,但是问题一直没有得到很好的解答。如您所知,可以提取 android apk 并对 Phonegap 文件夹进行逆向工程。关于这个问题,我有这些 questions/possible 解决方案:
- 有没有办法(也许是插件)用密码保护 "www" 文件夹?因此,当有人提取 apk 时,必须有一个保护 phonegap 文件的密码。我提取了许多 apk 并看到它在许多基于 Phonegap 的应用程序上实现。
- 有没有办法把API键保存在config.xml中,用JS读取?
- 有没有办法在不使用 facebook、google、linkedin 或 twitter 等登录身份验证的情况下安全地验证 phonegap 应用程序?这是在不需要登录的简单应用程序的情况下,但仍然使用那些 APIs
我使用了Javascript混淆。但需要一个更强大的选择。
任何人都可以帮忙吗?
完成此操作的最佳方法是(如果您无法控制 API)。设置你自己的服务器端 API 存储你的凭据,然后使用那个 API 向另一个 API 发出请求,然后你的 API 可以发回响应.这么想。
APP > 你的 API > API > 你的 API > APP
我觉得
https://github.com/tkyaji/cordova-plugin-crypt-file
插件可能会帮助你。它仍然会在 运行 时间内解密这些东西。
本帖也有类似的话题。
How to encrypt the content assets folder in phonegap android application
希望这对您有所帮助。 :)
我正在使用 Phonegap 构建 Android 应用程序。这些应用程序使用 rest APIs。但是我对 API 密钥的安全性有严重的疑问。一直在到处寻找答案,但是问题一直没有得到很好的解答。如您所知,可以提取 android apk 并对 Phonegap 文件夹进行逆向工程。关于这个问题,我有这些 questions/possible 解决方案:
- 有没有办法(也许是插件)用密码保护 "www" 文件夹?因此,当有人提取 apk 时,必须有一个保护 phonegap 文件的密码。我提取了许多 apk 并看到它在许多基于 Phonegap 的应用程序上实现。
- 有没有办法把API键保存在config.xml中,用JS读取?
- 有没有办法在不使用 facebook、google、linkedin 或 twitter 等登录身份验证的情况下安全地验证 phonegap 应用程序?这是在不需要登录的简单应用程序的情况下,但仍然使用那些 APIs
我使用了Javascript混淆。但需要一个更强大的选择。 任何人都可以帮忙吗?
完成此操作的最佳方法是(如果您无法控制 API)。设置你自己的服务器端 API 存储你的凭据,然后使用那个 API 向另一个 API 发出请求,然后你的 API 可以发回响应.这么想。
APP > 你的 API > API > 你的 API > APP
我觉得
https://github.com/tkyaji/cordova-plugin-crypt-file
插件可能会帮助你。它仍然会在 运行 时间内解密这些东西。
本帖也有类似的话题。
How to encrypt the content assets folder in phonegap android application
希望这对您有所帮助。 :)