是否有可能获得嵌入在移动应用程序中的密钥

Question

我有一套休息服务暴露在公共主机上。有移动应用程序（Android，iOS和Windows）将消耗这些服务。为了进行身份验证，我使用与这些应用程序共享的密钥，当它们碰到服务时，发送的密钥首先与实际的密钥匹配，并且服务仅在密钥匹配时才提供。我的问题是，黑客有可能对移动应用程序进行逆向工程并获取该密钥（以便他可以滥用Web服务）？如果是的话，那么这样做有多容易，这个问题的解决方案是什么？

Answer 1

的事情是，你是如何保存在您的应用程序密钥。现在可以有很多东西

1. 加密你的关键
2. 使用progaurd
3. 使用私人而不是默认共享的喜好（如果节省的喜好键）
4. 使用HTTPS而不是HTTP

这些都是一些方法，使用它可以保证你的钥匙，并难以扭转这一过程，但再一次没有什么是完全安全的，但是我做了这些步骤，你可以做出很大的改变。

Answer 2

对于iOS，使用Keychain安全地保存密钥。 Android中有一个Keychain，但它的工作原理有所不同。

使用https来保护密钥到服务器的换向。请参考CHAP。