我一直在做一个涉及 restful Web 服务的 Android 项目。保持 API 密钥安全的最佳方法是什么?我在网上读了很多书。许多人说将密钥保存在服务器中并使用它是安全的,而且这将是安全的。我不明白这意味着什么。根据我的理解,在服务器中保存密钥意味着应用程序需要在操作过程中通过使用 volley 或任何其他 httpclient 通过提供 url 来获取它。攻击者可以反编译apk文件并查看从中获取密钥的URL,获取密钥并完成他讨厌的工作。我弄错了吗?如何将 API 密钥存储在服务器中是安全的?请帮助我理解。
你应该
使用Android Keystore和SharedPreferences编写类似SecureStorage的东西,并将字符串放入其中。我们目前正在开发这样一个库 ->在这里看看它