1

我有一个开源的安卓应用程序。例如,为了使用新的 Awareness API,我需要一个我的应用程序将使用的api 密钥。

该文件是通过提供包名称和证书的 SHA-1 生成的。

Manifest.xml它存储的地方当然是版本控制的

这安全吗?由于我的项目是开源的,任何人都可以看到这个密钥,但他真的可以使用它吗?为什么?

PS 上面的说明可以在这里找到

4

1 回答 1

1

我不会对其进行版本控制,而是将其放在单独的 XML 文件中,然后将其放在.gitignore. 您可以在字符串资源文件中引用 XML 文件,而不是使用硬编码的 API 密钥,而是使用与 API 密钥对应的字符串资源,例如@string/API_KEY. 这是一种更安全的方法。这样,您就不会向公众开放您的密钥,并且应用程序仍然拥有它需要的相应数据。

于 2016-06-29T14:46:06.973 回答