0

我正在构建一个基于移动中心示例应用程序的应用程序。示例应用程序将 API 密钥存储在类文件 AWSconfiguration 中:

public class AWSConfiguration {
    // AWS MobileHub user agent string
    public static final String AWS_MOBILEHUB_USER_AGENT =
            "MobileHub ********* aws-my-sample-app-android-v0.16";
    // AMAZON COGNITO
    public static final Regions AMAZON_COGNITO_REGION =
            Regions.fromName("us-east-1");
    public static String  AMAZON_COGNITO_IDENTITY_POOL_ID =     "us-east-************6";

    // Google Client ID for Web application
    public static  String GOOGLE_CLIENT_ID ="";//"*********************.apps.googleusercontent.com";


    public static final Regions AMAZON_DYNAMODB_REGION =
            Regions.fromName("us-east-1");
    public static  String AMAZON_COGNITO_USER_POOL_ID =   "************";


    public static  String AMAZON_COGNITO_USER_POOL_CLIENT_ID =   "*************";



    public static  String AMAZON_COGNITO_USER_POOL_CLIENT_SECRET =  "*************";

    private static final AWSMobileHelperConfiguration helperConfiguration = new AWSMobileHelperConfiguration.Builder()
            .withCognitoRegion(AMAZON_COGNITO_REGION)
            .withCognitoIdentityPoolId(AMAZON_COGNITO_IDENTITY_POOL_ID)
            .withCognitoUserPool(AMAZON_COGNITO_USER_POOL_ID,
                    AMAZON_COGNITO_USER_POOL_CLIENT_ID, AMAZON_COGNITO_USER_POOL_CLIENT_SECRET)
            .build();
    /**
     * @return the configuration for AWSKit.
     */
    public static AWSMobileHelperConfiguration getAWSMobileHelperConfiguration() {

        return helperConfiguration;
    }



}

以这种方式存储客户端密钥似乎不安全。有哪些风险?

我尝试将密钥隐藏在 JNI 文件中,但在从移动助手调用密钥之前无法在活动中找到正确的入口点来设置密钥。

4

2 回答 2

2

正如您所猜测的那样,以明文形式存储通常是一个坏主意。您可以使用 android 密钥库,将其加密存储(密钥越强越好),使用设备的某些唯一标识符对其进行混淆,或者通过您控制和保护的某些 API 访问它。可以使用其他一些解决方案,或上述可能性的组合。最终决定取决于您以及您的应用需要/能力是什么,但有几种方法可以隐藏它。

于 2017-05-22T17:32:47.890 回答
0

SharedPreferences.Editor可以是一个解决方案。密码或类似的东西存储在SharedPreferences中。

于 2017-05-22T17:19:51.430 回答