È sicuro inserire l'hardcode nella mia chiave segreta nella mia app iOS?

Naviga le tue risposte
3

La configurazione dell'SDK iOS cloud suggerisce di codificare il tuo api_secret nel codice sorgente dell'app iOS.

Non è una vulnerabilità di sicurezza poiché i valori letterali delle stringhe possono essere estratti dal binario dell'app, ad es. usando il comando strings ?

Né il Facebook SDK per iOS AWS Mobile SDK per iOS ti chiede di codificare il tuo segreto API nel codice sorgente dell'app iOS. Per autenticare le richieste dei clienti, l'SDK di Facebook per iOS sembra utilizzare una sorta di algoritmo di firma e AWS Mobile SDK per iOS utilizza URL pre-firmati & Identità Amazon Cognito .

    
posta ma11hew28 18.06.2015 - 06:06
fonte

1 risposta

2

Il API-SECRET come suggerisce il nome è segreto e quindi non dovrebbe mai essere rivelato sul lato client (né sulle applicazioni mobili).

Questa credenziale viene utilizzata per generare firme che possono essere utilizzate per elencare, eliminare, sovrascrivere e modificare i contenuti.

Dovresti o archiviarlo sul lato server e passare solo la firma generata, oppure utilizzare metodi non firmati lato client che non richiedono firme.

    
risposta data 18.06.2015 - 11:35
fonte

Leggi altre domande sui tag

Estrai il contenuto del file PKCS7 in Java È possibile eseguire la crittografia a chiave pubblica privata su un chip (hardware)?