私のAndroidアプリケーションでは、私のバックエンドAPIにリクエストを行い、authヘッダーの値を追加して自分のAPIデータにアクセスできるようにします。私はそれを簡単にするOKHttpを使用しています。addHeader( "name"、 "value")Android - apiのエンドポイント認証ヘッダーを保護する
しかし、今私はJavaファイルでこのヘッダ名と値を単純にハードコーディングしています。人々はAndroidアプリを逆コンパイルすることができ、私の認証ヘッダー値を見ることができるようです。
これを防ぐ方法はありますか?
これは非常に議論されているトピックであり、常にトレードオフです。
いくつかの戦略がNDK
記事の結論を使用して、共有設定、資産またはリソースフォルダ
あなたが選択するオプションは、おそらくバックエンドサーバーに対してどれだけのコントロールを持っているかによって決まります。コントロールがない場合は、おそらくNDKを使用してAPIキーを非表示にする必要があります。そうする場合は、リプライ攻撃を防ぐためにnonceを使用してAPIキーのPublic/Private暗号化をお勧めします。次回の記事では、以前のAndroid OSのバージョンをサポートしていることのセキュリティ上の意味だけでなく、一部のAndroid搭載端末が他の端末よりもどのように安全であるかを見ていきます。
あなたの受信トレイにヒントを週に一度&リンクを
、すべてのトップ開発者のニュースを得るために私達のAndroidデベロッパーニュースレターに参加し 当社Androidデベロッパーニュースレターを購読