security - 如何在 Windows 应用商店应用程序包中存储 "secret"字符串

Question

您可能知道，深入研究使用 HTML、CSS 和 JS 制作的 Windows 应用商店应用程序的源代码非常容易。

我的应用程序使用 REST API，它会在服务器上启动一个相当昂贵的操作。为了节省 CPU 资源，API 使用类似 HMAC 的东西。要生成 HMAC，需要一个 secret 。我怎样才能安全地保存这个 secret ？我正在搜索类似 iOS keystore 的内容。

Answer 1

由于代码中的所有内容都可以被分析、反编译、调试，最终，如果您想在应用程序包中嵌入一个 key 来发布应用程序，这似乎是一种混淆而不是安全的努力。

由于您不使用用户安全来控制访问，相反，我建议您考虑一种方案，您将激活和授权应用程序，而不是尝试在应用程序中的某处存储“ secret ”。

如果您为应用程序授权添加了 RESTful API，您可以:

1. 按设备跟踪应用激活情况
2. 为每台设备提供唯一的激活码( token )
3. 按设备监控 API 的使用情况，包括启动昂贵操作的服务。

要为您的应用程序获取唯一的硬件 ID，您需要阅读本指南: http://msdn.microsoft.com/en-us/library/windows/apps/jj553431.aspx

获得 token 后，您可以使用 PasswordVault 安全地存储 token :

var vault = new Windows.Security.Credentials.PasswordVault();
vault.add(new Windows.Security.Credentials.PasswordCredential(
    "MyWindows8App", "default", token));

PasswordVault documentation