假设我有一个flutter应用程序和一个内部网服务器。flutter客户端将尝试使用TLS与服务器通信。我明白,我们可以在服务器上生成一个自签名证书,我可以让flutter客户端应用程序加载证书来与服务器交谈。我在想,如果我把证书存储在资产中,那是安全的吗?
似乎如果有人从资产中获得证书,他们就可以与服务器交谈。这是真的吗?如果这是真的,那么自我认证证书似乎不是很安全。
证书是公开的,您在本地存储自签名证书的副本,以便TLS客户机信任它,因为它默认只信任系统ca。所以不,如果您将证书存储在客户端,则没有任何问题。
客户端不应该存储的是私钥,它们通常以
开头-----BEGIN PRIVATE KEY-----.