Find centralized, trusted content and collaborate around the technologies you use most.
Teams
Q&A for work
Connect and share knowledge within a single location that is structured and easy to search.
我正在开发一个使用私有 Web 服务的应用程序。我们目前使用捆绑的客户端证书来启用 2 路 SSL 连接,但是证书的密码在代码中,令人担忧的是,这可能会被反编译并与(普通)提取的证书文件一起用于恶意目的。
有没有一种方法可以将密码预加载到应用程序钥匙串中以便与应用程序一起分发,这样密码就不会被公开?
无论您如何将密码放入二进制文件中,都会有某种方式来利用它,无论是使用调试工具、代码分析等。
您最好将您的网络服务视为开放的......也许在接下来的将来不太可能获得未经适当授权的请求,但基本上您放弃了对公众的访问权限。
钥匙串应该使用用户特定的密钥进行加密,这显然是您无法做到的——否则您无论如何都可以读取每个人的数据。
如果您真的需要保护它,您可能需要服务器上的用户帐户......如果这比默默无闻更安全,这取决于您。