为访问服务器资源生成令牌

Question

我试图在运行时使用签名证书生成令牌，并在服务器上验证该令牌以访问任何资源。我不想令牌存储在XML文件，因为它是生成令牌APK

代码的逆向工程后可为

public String getToken() { 
    Signature[] sigs; 
    try { 
     sigs = context.getPackageManager().getPackageInfo(context.getPackageName(), PackageManager.GET_SIGNATURES).signatures; 

     String token = sigs[0].toCharsString(); 
     return token; 
    } catch (Exception e) { 
     e.printStackTrace(); 
     return null; 
    } 
} 

的问题是，即使APK是来自同一所产生的一些装置回不同的令牌证书，不知道它为什么为某些设备返回不同令牌的原因。

我想要的是生成一个令牌，可以用来访问网络资源，我不想在apk中存储令牌没有人可以通过反编译apk获得令牌。

Answer 1

可以存储与C或C++ 令牌，并添加签名验证

public static String getSignature(Context context) { 
try { 
    PackageInfo packageInfo = context.getPackageManager().getPackageInfo(context.getPackageName(), PackageManager.GET_SIGNATURES); 
    Signature[] signatures = packageInfo.signatures; 
    return signatures[0].toCharsString(); 
} catch(PackageManager.NameNotFoundException e) { 
    e.printStackTrace(); 
} 
return null; 

}

const char * app_signature = "singsing"; 
static int is_valid = 0; 
void 
Java_com_xxx_xxx_nativeInit(JNIEnv *env, jobject thiz, jobject context_object){ 
    jclass context_class = (*env)->GetObjectClass(env, context_object); 

    //context.getPackageManager() 
    jmethodID methodId = (*env)->GetMethodID(env, context_class, "getPackageManager", "()Landroid/content/pm/PackageManager;"); 
    jobject package_manager_object = (*env)->CallObjectMethod(env, context_object, methodId); 
    if (package_manager_object == NULL) { 
     return; 
    } 

    //context.getPackageName() 
    methodId = (*env)->GetMethodID(env, context_class, "getPackageName", "()Ljava/lang/String;"); 
    jstring package_name_string = (jstring)(*env)->CallObjectMethod(env, context_object, methodId); 
    if (package_name_string == NULL) { 
     return ; 
    } 
    (*env)->DeleteLocalRef(env,context_class); 

    //PackageManager.getPackageInfo(Sting, int) 
    //public static final int GET_SIGNATURES= 0x00000040; 
    jclass pack_manager_class = (*env)->GetObjectClass(env, package_manager_object); 
    methodId = (*env)->GetMethodID(env, pack_manager_class, "getPackageInfo", "(Ljava/lang/String;I)Landroid/content/pm/PackageInfo;"); 
    (*env)->DeleteLocalRef(env,pack_manager_class); 
    jobject package_info_object = (*env)->CallObjectMethod(env, package_manager_object, methodId, package_name_string, 0x40); 
    if (package_info_object == NULL) { 
     return ; 
    } 
    (*env)->DeleteLocalRef(env,package_manager_object); 

    //PackageInfo.signatures[0] 
    jclass package_info_class = (*env)->GetObjectClass(env, package_info_object); 
    jfieldID fieldId = (*env)->GetFieldID(env, package_info_class, "signatures", "[Landroid/content/pm/Signature;"); 
    (*env)->DeleteLocalRef(env,package_info_class); 
    jobjectArray signature_object_array = (jobjectArray)(*env)->GetObjectField(env,package_info_object, fieldId); 
    if (signature_object_array == NULL) { 
     return ; 
    } 
    jobject signature_object = (*env)->GetObjectArrayElement(env,signature_object_array, 0); 
    (*env)->DeleteLocalRef(env,package_info_object); 
    jclass signature_class = (*env)->GetObjectClass(env, signature_object); 
    methodId = (*env)->GetMethodID(env, signature_class, "toCharsString", "()Ljava/lang/String;"); 
    (*env)->DeleteLocalRef(env,signature_class); 
    jstring signature_jstirng = (jstring) (*env)->CallObjectMethod(env, signature_object, methodId); 
    const char *sign=(*env)->GetStringUTFChars(env, signature_jstirng,NULL); 
    if (strcmp(sign,app_signature)==0 || strcmp(sign,app_j_s)==0) { 
     is_valid= 1; 
    } 
    return; 
} 

Answer 2

签名证书的指纹在所有设备中都是唯一的。您是否可以尝试使用此解决方案将该指纹作为字符串获取并将其用作标记。

https://stackoverflow.com/a/22506133/4586742

Answer 3

@Om Infowave开发商，

我建议你使用Android Keystore System 生成KeyPair然后使用KeyPair加密令牌，将令牌存储在共享首选项中。无论何时需要使用KeyPair的令牌解密令牌。

1. 这样你每次都得到唯一的令牌。
2. 令牌被加密和保护。
3. KeyPair因每个设备而异，因此更安全。

另外我只注意到你正在返回基于零索引的密钥。他们可能是你在随后的指数中寻找关键的机会。建议您记录存储在Signature[] sigs中的所有密钥;

希望得到这个帮助。