我有一个 Google MAPS API KEY,当您使用逆向工程反编译我的应用程序时,可以很容易地看到它。这一点都不好。另外,我在通过字符串访问的源代码中使用了 Weather API KEY。
我找到了这个网站https://medium.com/@cassioso/a-strategy-to-secure-your-api-keys-using-gradle-b9c107272860
想问你,这篇文章是推荐的还是你有更好的主意?
有人对这个问题有任何经验吗?
我正在使用 ProGuard,但 ProGuard 不会混淆 AndroidManifest(据我所知,这甚至是不可能的),它也不会混淆任何 String API KEY(我不知道为什么)
我对 DexGuard 没有任何经验。
您能否告诉我这个网站是否正常运行,或者您能否提供更多关于如何在清单和源代码中隐藏 api 密钥的提示。
【问题讨论】:
没有理由隐藏您的 API 密钥。它们直接从清单中解析。刚要评论,不回答,但是评论太长了哈哈。所以我想我会发布作为答案。
为什么要隐藏 API 密钥? GMaps 和 Fabric 和 Firebase 建议您直接放入 Manfiest。
您发布的网站只是将它放在 build.config 文件中。您也可以嵌套在环境变量中并使用 Gradle 将它们拉入,但这有什么意义。您仍在将它们拉入一个文件,该文件将与 APK 一起生成和打包。如果您能解释您的理由,我很乐意帮助您找到隐藏钥匙的方法。
如果确实有必要,您总是可以将其设为远程 API,以便第一次提取并放入数据库,如果确实需要安全,您可以使用 SQLCipher。存储后,您可以在运行时动态加载。不过,我不知道当 SDK 从清单中解析它时,它的效果如何。
创建 SDK 以从清单文件中解析密钥是很常见的,因此如果打算在运行时加载它,则 SDK 必须支持这一点,而不是依赖于从清单文件中解析它。
所以我的建议是将它作为普通的可见 API 密钥保留在清单中。该包对您的应用程序是唯一的,SDK 将使用该包和可能的应用程序密钥以及嵌套在 SDK 中的密钥,以确保所有调用都来自您的应用程序。所以回到我原来的问题。为什么需要隐藏 API 密钥?
【讨论】: