在android应用程序中使用Twitter消费者密钥和秘密硬编码有多安全？

Question

我期待在此示例代码：

authConfig = new TwitterAuthConfig(BuildConfig.CONSUMER_KEY, BuildConfig.CONSUMER_SECRET); 

是什么阻止有人从反编译的apk，并开始使用我的应用程序的消费者密钥和秘密？

Answer 1

防止反编译与亲卫队工具

基本上，要使用一个亲卫队的工具，在你的项目文件名为project.properties中的以下值：

proguard.config=${sdk.dir}/tools/proguard/proguard-android.txt 

这是亲卫队工具的参考 http://developer.android.com/tools/help/proguard.html

Answer 2

如果这是你的钥匙和应用程序是为他人使用，那么这些将在应用程序中可用，如果逆向工程。即使您在应用中对其进行了加密并在使用时进行了解密，您也需要在应用中包含解密密钥，因此确定的恶意用户也可以进行反向工程和解密。

我对此也做了一些进一步的研究，因为它让我很困扰。

我的理解是，CONSUMER_KEY和CONSUMER_SECRET，是你的，应该受到保护。我不认为将它们分发给任何分发给用户的应用程序是一个好主意。

相反，它们可以用来创建“不记名令牌”，作为支持后端Web应用程序的一部分。可以通过在您自己的Web应用程序内调用适当的Twitter Web API来请求不记名令牌，即在安全的环境中。

通过这种方式，您将拥有三个角色，您的移动应用程序，您的Web应用程序和Twitter服务。移动应用程序请求来自您的Web应用程序的不记名令牌。 Web应用程序通过使服务器通过Twitter REST API调用服务器请求来自Twitter的不记名令牌，并且令牌和秘密保持为您的状态。不记名令牌由twitter返回给您的Web应用程序。然后，您的网络应用程序可以将不记名令牌存储在您的Web应用程序会话中，并充当代表请求推特的代理并确保即使不记名令牌仍然保密。

这里有一些参考： http://wickedlysmart.com/twitternews-oauth/ https://dev.twitter.com/oauth/application-only http://hayageek.com/login-with-twitter/