Я разрабатываю sdk для приложений сторонних разработчиков, и мне нужно выполнить аутентификацию запросов из sdk на моем сервере.В андроиде, как защитить конфиденциальные данные или как аутентифицировать запросы при разработке sdk
Теперь я решаю это путем жесткого кодирования секретного секрета в sdk, затем sdk использует этот секрет для хэш (md5) своих параметров запроса в качестве знака, который отправляется на сервер вместе с другими параметрами. Тогда сервер может проверить знак, посмотреть, подписан ли он правильным частным секретом, поэтому я разработал sdk.
Возникает вопрос:
- Как я могу защитить эту частную тайну от реинжиниринга?
- Могу ли я защитить секретный секрет, инкапсулируя процесс запросов в андроиде NDK?
- Есть ли другой лучший способ выполнить мою основную цель: аутентифицировать мои запросы sdk? Как это делает другой?
Спасибо.
Спасибо. Для уточнения: я пытаюсь предотвратить атаку моего api-сервера, способ, которым я занимаюсь, зависит от того, какой секретный ключ хранится (что небезопасно) в моем sdk, который будет использоваться другими приложениями. Поэтому он не основан на пользователе, и все сторонние приложения просто внедряют мой sdk, теперь все мои sdk используют тот же секретный ключ для аутентификации. К сожалению, я не могу получить прямое решение из вашего ответа, я продолжу копаться в ссылках, предложенных вами, тем временем, надеюсь, что вы сможете объяснить больше, спасибо еще раз. –