java - 在桌面应用程序中存储散列、盐、键的位置

Question

我正在尝试找出在桌面应用程序中应该将应用程序 secret 和 key 存储在何处或如何存储。
例如 facebook 应用程序 key 或 dropbox key 和 secret 。

所以我读到我应该对这些值进行散列、加盐、加密等操作。这是为了防止有人对我的代码进行逆向工程并看到 key 。

一切都很好，但是对于所有这些方法，我最终只是在某处存储盐值或哈希值而不是 key 本身。当然，如果黑客可以获取 salt/hash 和可能的源代码，他们将能够解密加密 key 并获取我的密码/ key / secret ？

我读过的一个似乎最安全的选项是根本不将此值存储在桌面应用程序中，而是调用 Web 服务来获取 key (可能已加密)。但我的问题是，即使在这种情况下，一个体面的黑客肯定只会进行内存转储或其他操作以查看从 Web 服务返回的值是什么，然后我们回到第 1 个方 block 。

下一个最佳选择似乎是默默无闻。

我是否完全遗漏了什么？

附带说明一下，facebook/twitter/dropbox/etc key / secret 对黑客有什么用？他们肯定仍然需要用户的凭据或访问 token 才能使用它吗？

如有任何意见或建议，我们将不胜感激。

Answer 1

当每个用户帐户成功登录到您的服务时，为应用程序生成一个新的访问 token 。您的登录服务应该设计得非常像网站的登录:

• API 应该只允许一定数量(比如 5 次)的错误登录尝试，这些尝试会向桌面客户端报告用户名/密码不匹配。
• 当用户成功登录时，API 应该返回一个仅属于该用户的 token 。
• 使用 SSL 和本地化哈希方法将用户密码传递给您的 API

您的 API 提供的此授权 token 仅适用于个人帐户，因此应该只允许用户对其个人帐户执行操作。因此，例如，如果用户想要执行操作，他们必须能够提供有效的身份验证 token 才能完成操作。使用这种方法，攻击者仍然可以获得授权 key ，但该授权 key 只能对生成它的帐户执行操作。它将无法对任何其他帐户执行操作。这里的想法是让他们弄乱数据，但将不良 Activity 隔离在一个帐户中。

从那里开始，如果您确实有从多个帐户访问数据的通用 API 调用(比如图像搜索)，请确保您永远不会返回或允许任何帐户访问所有中的数据你的系统彻底。仅提供有限数量的记录。在这种情况下，系统仍在执行其工作，但绝不会允许访问系统中的所有记录。

我通常实现这样的服务:

• 用户登录并获得授权 token 。我将所说的身份验证 token 存储在与该用户关联的数据库中。
• 用户使用授权 token 调用网络服务。我通过传输的身份验证 token 和用户 ID(两种身份验证形式) 查找用户帐户，并使用发现的用户帐户执行所有操作。我不只是假设用户 ID 是正确的，它必须是验证 token 所依据的用户 ID。
• 如果用户需要执行重设密码等精细操作，我的应用程序会在应用程序中打开一个浏览器窗口或浏览器任务，用户可以在其中请求和管理重设。与未知客户端上的应用程序相比，我可以更轻松地保护 Web 应用程序。

使用这些方法，您应该能够制作一个功能完备的桌面应用程序。此功能有异常值，如果您有任何异常值，请在评论中发布，我们可以进一步深入研究该问题，看看该解决方案是否仍然适合您。