Per quanto ne so, nell'autenticazione dell'API REST di base, il nome utente e la password per accedere alle risorse del servizio Web sono integrati nel codice dell'app. D'altra parte, sembra non difficile da decodificare il file .apk di un'applicazione per ottenere il codice java contenente le credenziali REST.
Quindi mi chiedo se ci sono modi per garantire le credenziali contro la rivelazione dell'ingegneria inversa?
La pratica migliore è quella di non memorizzare le credenziali di accesso all'interno del programma. Le app non sempre contengono (a meno che non siano progettate male) credenziali specifiche per accedere all'API.
Sebbene l'aggiunta di credenziali al codice possa dissuadere gli aggressori generali, non fermerà gli attaccanti che possono aprire il pacchetto ed estrarre i dettagli. Poiché qualcosa che può essere rotto da alcuni è considerato vulnerabile, anche il modo giusto per implementarlo sarebbe il seguente.
Poiché puoi controllare in modo efficiente il processo di registrazione e consentire l'accesso a parti sicure dell'API basate sul token di accesso, la tua implementazione dovrebbe essere abbastanza sicura se usi SSL / TLS per loro.
Leggi altre domande sui tag rest authentication android credentials