Voglio proteggere un'API utilizzata da un'app nativa reattiva. Se viene inviata un'intestazione di autorizzazione, l'utente può leggere la richiesta e accedere ai dati. Per evitare ciò, desidero utilizzare i certificati client SSL.
Ora se inserisco il certificato nella cartella delle risorse, sarà possibile per l'utente ottenerlo dall'APK? Se sì, come può essere evitato?
C'è un altro modo per proteggere la richiesta?
Non è possibile nascondere realisticamente i dati memorizzati sul dispositivo dal proprietario del dispositivo. Sia l'analisi del jailbreaking che quella offline di un dispositivo possono rivelarlo, oltre a semplici errori nella tua app.
Quindi stai meglio usando un protocollo di sicurezza stabilito, come oauth2. Insieme al principio di scaricare o archiviare solo i dati di cui l'utente è proprietario e accettando che lo manipolino, si ha una ragionevole sicurezza. Se i dati devono essere tenuti segreti dall'utente, devono essere memorizzati sul server.
TLS reciproco con la chiave privata dell'app generata durante l'installazione, può anche darti una ragionevole aspettativa che il dispositivo che si collega al tuo server sia sempre lo stesso. In pratica, un strong collegamento del dispositivo. Nessuna altra app sarà in grado di presentare lo stesso certificato di dispositivo. Ma aspettati che il proprietario sia in grado di leggere la sua chiave privata.
Se invii un paquet ad un utente , per consentire a user di usarli, per qualsiasi scopo. Non sarai in grado di garantire che utente non leggi il tuo contenuto paquet !
In qualsiasi modo tu usi, utente sarà in grado di traccia la tua applicazione , bx usando kernel o < em> network tracking!
Nulla garantisce utente che tu non userà il suo tipo di persona sercret tu precedentemente fatto ...
Ogni utente deve costruire la sua coppia personale: chiave privata e chiave pubblica , condividere chiave pubblica e preoccuparsi della chiave privata ...
Esistono molti protocolli di autenticazione pubblicati
.Per ulteriori documenti, puoi dare un'occhiata a Sicurezza dei livelli di trasporto , Single sign-on
Leggi altre domande sui tag authentication mobile client tls