gpt4 book ai didi

android - 安全性:应用程序源代码中的谷歌客户端 secret 安全吗?

转载 作者:行者123 更新时间:2023-11-29 17:33:05 25 4
gpt4 key购买 nike

我正在为我们制作的后端构建一个 iOS 和 Android 应用程序,在应用程序中我们希望用户向我们验证他们的 gmail。关于iOS quickstart page我看到开发人员需要包括:

private let kClientID = "YOUR_CLIENT_ID_HERE"
private let kClientSecret = "YOUR_CLIENT_SECRET_HERE"

但据我所知,我认为可以反编译应用程序二进制文件(适用于 iOS 和 Android),这样基本上任何人都可以找到我们的 client_idclient_secret .

看到 google 是这样解释的,我想这是有道理的,但是在我分发的二进制文件中加入 secret 身份验证代码感觉不对。

任何人都可以对此有更多的了解吗?欢迎所有提示!

最佳答案

您需要定义要保护的对象。如果 protected 值(value)大于攻击的成本。

没有将值放入源代码的安全方法,但对于您的应用程序来说可能足够安全。将它们放在加密文件中只是稍微好一点,因为该文件的 key 必须在应用程序中。

剩下的就是从服务器获取它们,也许是在注册时,安全问题是用户身份验证。然后将客户端和安全 ID 放入钥匙串(keychain)中。

虽然在使用 key 时钥匙串(keychain)在设备上尽可能安全,但必须将其获取到内存中,然后编码到请求中。攻击者的难度要高得多,但并非不可逾越。

关于android - 安全性:应用程序源代码中的谷歌客户端 secret 安全吗?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/31858960/

25 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com