解析服务器安全的最佳实践
Best Practice on Parse Server Security
我实际上正在尝试编写一个小应用程序,我打算在其中将用户的姓名存储在 Parse Server 数据库中。对于定义用户,我需要在某个时候读取并获取其他用户的姓名和姓氏。
我了解到任何人都可以反编译我的 APK 并提取 App id 和 Master Key 。对我来说,这些值存储在 strings.xml 中,但我不明白如何将它们存储在其他地方,因为它们需要连接到服务器。
有没有办法保护反编译以保留MasterKey?或者我应该为这些列(在用户 class 中添加姓名和姓氏)强制执行 ACL,并在需要时使用 Cloud Coud 读取其他用户的姓名吗?
请问这样做的最佳做法是什么?
"protect things inside APK"有一些通用的解决方案。
Google APK reinforcement.
请勿在客户端应用程序中使用主密钥
如果您的主密钥被泄露,那么您的整个解析实例都将被泄露。相反,使用 class 和对象 ACL 来保护您的数据。如果您需要需要主密钥的特殊查询,请在服务器端或云代码中执行。
仔细阅读此文档:https://docs.parseplatform.org/android/guide/#security
我实际上正在尝试编写一个小应用程序,我打算在其中将用户的姓名存储在 Parse Server 数据库中。对于定义用户,我需要在某个时候读取并获取其他用户的姓名和姓氏。
我了解到任何人都可以反编译我的 APK 并提取 App id 和 Master Key 。对我来说,这些值存储在 strings.xml 中,但我不明白如何将它们存储在其他地方,因为它们需要连接到服务器。
有没有办法保护反编译以保留MasterKey?或者我应该为这些列(在用户 class 中添加姓名和姓氏)强制执行 ACL,并在需要时使用 Cloud Coud 读取其他用户的姓名吗?
请问这样做的最佳做法是什么?
"protect things inside APK"有一些通用的解决方案。
Google APK reinforcement.
请勿在客户端应用程序中使用主密钥
如果您的主密钥被泄露,那么您的整个解析实例都将被泄露。相反,使用 class 和对象 ACL 来保护您的数据。如果您需要需要主密钥的特殊查询,请在服务器端或云代码中执行。
仔细阅读此文档:https://docs.parseplatform.org/android/guide/#security