如何将秘密 API 密钥存储在应用程序的二进制文件中？

Question

我正在为 Mac OS X 创建一个 Twitter 客户端，并且我有一个消费者密码。据我了解，我不应该分享这个 secret 密钥。问题是当我将它作为字符串文字放入我的应用程序并使用它时，如下所示：

#define QQTwitterConsumerSecret @"MYSECRETYOUMAYNOTKNOW"

[[QQTwitterEngine alloc] initWithConsumerKey:QQTwitterConsumerKey consumerSecret:QQTwitterConsumerSecret];

它位于我的应用程序二进制文件的数据部分。黑客可以阅读此内容、反汇编应用程序等。

是否有任何安全的方式来存储消费者机密？我应该加密吗？

Answer 1

没有真正完美的解决方案。无论你做什么，都有专门的人可以窃取它。

甚至是 iPhone/iPad/Android/mac/等的 Twitter。里面有一个密钥，他们可能只是以某种方式掩盖了它。

例如，您可以将其分解为不同的文件或字符串等。

注意：使用十六进制编辑器可以读取二进制格式的 ascii 字符串，这是最简单的方法。通过将其分解为不同的部分或使用函数调用来创建密钥通常会使该过程更加困难。

Answer 2

您可以对它进行 base64 编码来混淆它。或者，更好的主意，生成密钥而不是仅仅存储它 - 编写如下内容：

char key[100];
++key[0]; ... ; ++key[0]; // increment as many times as necessary to get the ascii code of the first character
// ... and so on, you get the idea.

然而，一个真正优秀的黑客无论如何都会找到它；真正保护它不被别人看到的唯一方法是使用安全的哈希函数，但是你也无法检索它:)

Answer 3

您不应在并非仅在您的服务器上运行的应用程序中使用秘密 api 密钥。

即使它完全隐藏.. 您也可以随时窥探通过网络传输的数据。而且由于它是您的设备，您甚至可以篡改 SSL（中间人使用由自定义 CA 创建的证书，该证书已添加到设备的受信任 CA 列表中）。或者，您可以挂接 SSL 库以在实际加密之前拦截数据。

Answer 4

一个很晚的答案......

如果您设置自己的服务器，则可以使用它来帮助您的桌面应用程序在 twitter 上获得用户的授权，而无需共享（即：嵌入）您的密钥。

您可以使用这种方法：

当用户安装您的桌面应用程序时，她必须在 twitter 和您的服务器上注册它 *) *) 应用程序要求服务器生成令牌请求 URL *) 服务器将生成的 URL 发送到应用程序 *) 应用程序将用户定向到授权 URL *) 用户在 Twitter 上授权您的应用并将生成的 PIN 粘贴到其中 *) 使用您的应用程序的 PIN 码获取令牌 *) 所有进一步的通信都使用令牌，不涉及您的服务器

注意：应用程序使用您服务器的用户凭据（例如：ID 和密码）登录到您的服务器。