Android- Защищенный сервер клиент связи

Question

Я очень новой для написания приложений, поэтому, пожалуйста, медведь со мной :)

Я пишу Android приложение, которое обменивается данными с моего сервера для отправки запроса GET и получить данные с сервера и покажите его клиенту (пользователь приложения Android).

API URL: данные http://myserver.com/get.php

GET/переменные

1. апи: мой апи ключ
2. дополнительные переменные GET

Было бы Лик e: http://myserver.com/get.php?api=XXXXXXXXXXXXXXXXXXX&extra=something&fields=here

Возможно, злоумышленник видит ключ API, расшифровывая приложение с помощью таких инструментов, как apktool, smali и т. д.? Если да, то как я могу его защитить?

Answer 1

Примечание: ответ, который вы собираетесь прочитать, основывается на моем опыте и моих исследованиях, не стесняйтесь комментировать, если моя информация неверна. Я не сетевой архитектор, но у меня есть опыт построения web services, и я провел много исследований (потому что, как и вы, я сначала не понимаю о безопасности). Я надеюсь, что это поможет вам.

1. Использование POST, его более безопасным, чем GET, если вы используете REST.
2. Использование HTTPS (я знаю его немного дороже)
3. Используйте SOAP, вместо того REST если вам действительно нужна хорошая безопасность (например: Banking Apps).
4. Используйте Dexguard/Proguard, поэтому ваши приложения будут трудно отменить.