4

我目前正在开发一个基于 3rd 方 Web API 的桌面应用程序,并且已经注册了他们的程序并获得了两个访问密钥作为回报。

但是,如果将这些键作为字符串粘贴到源代码中,那么任何人都可以拉回 repo 的内容并轻松找到它们。

到目前为止,我如何防止这种情况的最佳想法是将它们单独编译成一个类文件,对其进行混淆,然后使用它,这样它们至少在源代码中不是纯文本。但是有没有更好,更被接受或常用的方式我错过了?我并不追求完全和绝对的安全性,但至少希望在开源环境下尽可能地使提取密钥变得困难。

4

1 回答 1

10

您可能希望将访问密钥作为一个单独的文件插入到源代码中,这样您就可以避免推送到公共存储库(或者在删除实际密钥的情况下推送,这样想要使用您的应用程序的人就需要插入在他们自己的钥匙)。这样,除了您的私钥本身之外,一切都是开源的。

TL;DR:真正避免发布密钥的唯一方法是不要让它们成为公共源代码库的一部分。其他任何东西都意味着它们很容易被其他人提取。

于 2013-01-09T12:28:23.450 回答