安全地存储凭据

Question

我们的应用需要附带多个用户名、密码和令牌，以访问其他基于 Web 的服务。我已经对此进行了相当多的谷歌搜索，但无法弄清楚如何使用安全存储的凭据来发布应用程序。任何有关如何实现这一目标的建议将不胜感激。

Answer 1

归根结底，您在 .apk 文件中打包的是 Java 字节码，如果您使用 Google 搜索“反向工程 Java 字节码”，您将获得有关如何提取该文件信息的工具和教程。我可以想出一些好的做法来帮助您提高应用的安全性，具体取决于您愿意在应用上工作的程度：

• pro-guard：那是一种给予，使用 pro-guard！
• 您可以使用一些小技巧使事情变得更复杂，以加密格式存储所有这些字符串并在运行时对其进行解密。
• 作为最后一点的一个不错的附加组件：在您的开发者控制台上，您会找到“此应用程序的您的许可证密钥”。您可以在开发期间使用该密钥对信息进行加密，并在运行期间从 Google Play 获取值以使用它进行解密。有关它的更多信息HERE
• 此许可证密钥还可用于验证应用的真实性。
• 您还可以将这些密钥构建为本地库。存储在 C++ 编译代码中的字符串比字节码更难破解。

总而言之，这个链接对你来说可能是一个很好的阅读：http://developer.android.com/training/articles/security-tips.html

Answer 2

由于应用程序必须对其进行解密，因此无法安全地执行此操作，除非您让该人在安装后下载信息，但仍然需要信息才能获取数据应用程序来使用它。

如果您不想信任用户，最安全的方法是让他们将请求发送到您的服务器，然后您的服务器使用自己的凭据访问感兴趣的网站并返回数据给用户。

这样，数据在一个地方得到保护。

否则，如果他们足够努力，有人可以获取凭据。