У меня есть веб-сервис, который выполняет некоторую операцию оплаты, поэтому это очень важно. Конечно, у него есть секретный ключ, который нельзя назвать без него.Защита секретных ключей в Android
Я буду предполагать, что рано или поздно мой файл .apk будет декомпилирован, и код будет доступен для чтения. Теперь, если я решил получить этот ключ, вызвав другую услугу, URL-адрес этой службы будет сохранен в моем коде, но я только что сказал, что он не защищен и не может быть скрыт !!
Каков наилучший подход в такой ситуации?
Зачем вводить секретный ключ в приложение? Предположительно, для этого есть серверный компонент. Используйте секрет там и поместите открытый ключ в свое приложение. –
@Mike W: если бы я мог понять вас, разве опасно размещать открытый ключ в моем приложении? Мне не нужно позволять хакеру называть мои услуги и украсть мое содержимое. –
Я неправильно понял вопрос из вашего использования терминологии. Если это ваша проблема, вам нужно как-то заставить пользователя пройти аутентификацию. Возможно, заставьте логин один раз и предоставите уникальный ключ каждому пользователю в то время. После того, как уникальный ключ будет выпущен и сохранен на устройстве, вам не нужно будет входить в систему. Вы можете периодически повторять этот процесс и, возможно, привязать ключ к идентификатору устройства (номер IMEI, возможно?) –