Phonegap应用程序安全 - API密钥和代码

我正在使用Phonegap构建Android应用程序。这些应用程序使用其余的API。但是我对API密钥的安全性有严肃的问题。我一直在寻找答案，但问题没有得到很好的回答。如你所知，android apk可以被提取，并且Phonegap文件夹可以被反向设计。我有这些问题/可能的解决方案：Phonegap应用程序安全 - API密钥和代码

有没有一种方法（可能是插件）密码保护“www”文件夹？所以当有人提取一个apk时，必须有一个密码来保护phonegap文件。我提取了许多apks，并在基于Phonegap的许多应用程序中看到了这一点。
有没有办法在config.xml中保存API密钥并使用JS读取它？
有没有一种方法来安全验证phonegap应用程序，而不使用像Facebook，谷歌，linkedin或Twitter的登录身份验证？这是在不需要登录的简单应用程序的情况下，但仍然使用这些API

我已经使用了Javascript混淆。但需要更强大的选项。任何人都可以帮忙吗？

来源

2017-04-15 Siddharth Mehta

说实话，API密钥的反向工程就像安装了网络监视器应用程序或在根设备上查看logcat一样简单。 –

完成此操作的最佳方法是（如果您无法控制API）。要设置您自己的服务器端API存储您的凭证，然后使用该API向另一个API发出请求，那么您的API可以发送回应。像这样想一想。

APP>您的API> API>您的API> APP

来源

2017-04-15 11:59:18

嗨L Balsdon。感谢您的建议。实际上，我使用我自己的API，用于获取一些AI处理的内容。算法运行在服务器上。但API密钥驻留在apk中（在混淆的JS中）。该应用程序应该是一个简单的内容应用程序，不需要用户身份验证或登录。因此，我担心这个API很容易受到攻击，任何可以访问apk的人都可以直接使用API。 –

我认为这是最好的前进方向。使用你的方法使事情变得更好。试过了。标记正确。谢谢:) –

谢谢，没有问题很高兴我可以帮忙。 –

我觉得

https://github.com/tkyaji/cordova-plugin-crypt-file

插件可以帮助你的周围。它仍然会在运行时解密这些东西。

此主题也有类似的话题。

How to encrypt the content assets folder in phonegap android application

希望这有助于。 :)

来源

2017-04-15 13:25:07

谢谢Rajith :)我认为L Balsdon的方法可以帮助保护API。标记它是正确的。尽管你的回答也增加了价值。 –

Phonegap应用程序安全 - API密钥和代码

回答

相关问题