我正在制作一个 android 应用程序,目前,我将服务器用户名和密码写成我的代码中的常量(这不是很安全)。我在网上进行了研究,但我真的找不到可以完全保护用户密码或至少防止黑客攻击的东西。谁能帮我解决如何在android本地安全地存储密码?谢谢!
【问题讨论】:
标签: java android security keystore password-encryption
看来您的问题实际上是“我可以只限制服务器访问我的应用程序吗?”。这不可能。一旦客户端(例如用户设备)上存在应用程序或文件,无论是否经过您的授权,都无法阻止该客户端访问该应用程序或文件中的任何内容。
如果设备可以读取它,那么设备可以读取它 - 无论它实际上是您的应用程序在读取,还是其他东西假装成为应用程序.
您最多可以尝试混淆凭据,但这不太可能有用 - 那些可能有兴趣从您的应用程序中提取凭据的人也可能是那些有技能绕过此类混淆的人。
如果不了解您的用例,我真的无法给您更具体的建议。对于远程 API,通常使用 API 密钥——但这需要用户创建一个帐户。对于无帐户应用程序,您想要的根本不可能。
我还应该指出,“防止黑客”并不是一个有意义的目标——这可能意味着很多东西。您需要了解威胁建模的工作原理,并准确确定您的“攻击者”是谁、他们的目标是什么以及他们的能力是什么。只有这样,您才能尝试找到针对它的解决方案。
编辑:只是想添加一个额外的警告词:任何告诉您混淆对于此类场景“有效”的人,都试图向您推销一些东西。不幸的是,他们在这种尝试中通常相当成功。混淆模型不能且不工作。
【讨论】: