在 GCP api 网关中将签名证书的 SHA 1 指纹作为 api 密钥验证的一部分发送是否安全?
Is it safe to send SHA 1 fingerprint of signing certificate as part api key verification in GCP api gateway?
为了保护和监控我们的 GCP 云功能,我们集成了 GCP api 网关。
android 应用程序必须传递 SHA1 指纹、程序包名称和 api 密钥作为请求的一部分才能获得身份验证。
这样做安全吗?
https://cloud.google.com/api-keys/docs/add-restrictions-api-keys
https://cloud.google.com/docs/authentication/api-keys#api_key_restrictions
要回答这个问题,您可以问自己:是否有人可以反编译我的 APK 并从我的代码中提取 API 密钥和 sha-1?
可悲的是,是的...
因此,这足以假设发出请求的是您的应用,但您需要添加专用的身份验证机制来对用户进行身份验证 (firebase auth)
最后,一切都取决于它是否安全为了什么?
为了保护和监控我们的 GCP 云功能,我们集成了 GCP api 网关。
android 应用程序必须传递 SHA1 指纹、程序包名称和 api 密钥作为请求的一部分才能获得身份验证。
这样做安全吗?
https://cloud.google.com/api-keys/docs/add-restrictions-api-keys
https://cloud.google.com/docs/authentication/api-keys#api_key_restrictions
要回答这个问题,您可以问自己:是否有人可以反编译我的 APK 并从我的代码中提取 API 密钥和 sha-1?
可悲的是,是的...
因此,这足以假设发出请求的是您的应用,但您需要添加专用的身份验证机制来对用户进行身份验证 (firebase auth)
最后,一切都取决于它是否安全为了什么?