1

我正在使用 WL 5.0.5 Server 和 Studio。

现在我正在验证应用程序身份验证。但我做不到。

我制作了一个使用 WL studio 5.0.5 的 android 应用程序。我试图伪造应用程序以使用 apktool 和 motizen 工具(这是一个伪造的签名工具)。

  • 反编译应用程序。
  • 修改Androidmanifest.xml(添加一些权限)
  • 重建
  • 使用 motizen 工具伪造签名

由于自动配置是 WL 5.5 的一项功能,我希望能够防止执行伪造的应用程序。

但它运作良好。我不知道它为什么这样做。

请让我知道如何在 WL 5.0 上检测应用程序伪造。

4

2 回答 2

1

了解真实性仅在 Worklight 的商业版本中有效,了解这一点很重要。从 IBM developerWorks 站点下载的版本没有激活此功能

于 2013-03-22T09:21:56.343 回答
1

如果您希望检查您的 publickSigningKey,您必须在安全测试中指定 wl_authenticityRealm。例如:

<customSecurityTest name="authenticity">
    <test realm="wl_antiXSRFRealm" step="1"/>
    <test realm="wl_authenticityRealm" step="1"/>
    <test realm="wl_remoteDisableRealm" step="1"/>
    <test realm="wl_anonymousUserRealm" isInternalUserID="true" step="1"/>
<test realm="wl_deviceNoProvisioningRealm" isInternalDeviceID="true" step="2"/>
</customSecurityTest>

请注意,您的应用程序将按预期在设备上运行,直到它尝试连接到服务器。然后连接应该失败,您将在 WLResponseListener.onFailure 中收到通知。

于 2013-03-05T08:23:42.287 回答