ios - 在 iOS 中，如何存储允许我与服务器通信的 secret "key"？

Question

我想存储一个 key (“abc123”)，我将在我的 REST API 请求的 header 中使用它。我的服务器将检查这个 key 。如果它匹配“abc123”，则允许发出请求。

我正在考虑一个简单的解决方案，例如:

let secret = "abc123" 

但是这样做会不会有任何失败？

Answer 1

听起来很疯狂，但这可能是最好的解决方案。其他一切都更复杂，但也没有更安全。您使用的任何奇特的混淆技术几乎都会在找到此 key 的同时进行逆向工程。但是这种静态 key 解决方案虽然非常不安全，但几乎与其他解决方案一样安全，而且几乎没有增加额外的复杂性。我喜欢它。

它几乎会立即被破坏，但所有其他解决方案也会如此。所以保持简单。

您真正想在这里做的一件事是使用 HTTPS 和 pin your certificates .我会选择一个不是单词的长而随机的 key 。理想情况下，它应该是一个完全随机的字节串，存储为原始值(而不是字符)，这样它在二进制文件中就不会那么明显。如果您想变得疯狂，请在发送之前对其应用 SHA256(因此实际 key 永远不会出现在您的二进制文件中)。同样，这很容易破解，但很容易，不会浪费很多时间进行开发。

任何超过一个小时的努力都不太可能值得为实现此功能而付出的努力。如果您想了解更多有关该主题的信息，请参阅 Secure https encryption for iPhone app to webpage及其链接。