Ho un'app per Android che chiama SOAP SOAP. La chiamata WS passa su HTTPS e ha credenziali (utente e pass)
(questo non è un utente / passaggio specifico, ma l'utente / passaggio del WS stesso)
Come dovrei memorizzare l'utente / pass?
So che se inserisco la password hardcoded, qualsiasi attacker potrebbe essere in grado di decompilare l'app e scaricarla.
Può sembrare che sia necessaria una re-architettura. Come già detto Crovers, non sarai in grado di proteggere nome utente e password se sono memorizzati localmente sul dispositivo. È necessario un qualche tipo di proxy tra l'endpoint del servizio Web e il dispositivo.
Best Practice
La migliore pratica sarebbe quella di dare a ciascun utente le proprie credenziali per il proxy, e quindi il proxy stesso connetterebbe l'endpoint SOAP. Il proxy si connetterebbe al servizio SOAP tramite SSL
Un aggiramento non raccomandato
A seconda dei requisiti di sicurezza, potresti essere in grado di farla franca con requisiti meno rigorosi. Se ci sono particolari operazioni sul servizio SOAP che non vuoi che i tuoi utenti possano accedere, non puoi semplicemente esporle tramite l'applicazione proxy. Ad esempio, se il servizio SOAP espone un'operazione di aggiunta, modifica e cancellazione e non si desidera che gli utenti finali utilizzino l'operazione di eliminazione, l'applicazione proxy non espone un'operazione di eliminazione ai propri utenti. Tieni presente che questa soluzione funziona solo con il controllo dell'accesso verticale e non con il controllo dell'accesso orizzontale. Impedisce solo agli utenti di eseguire azioni non autorizzate, come l'esempio di eliminazione. Non impedirà agli utenti di eseguire azioni autorizzate contro oggetti a cui non dovrebbero essere in grado di accedere (ad esempio, se posso aggiornare i miei record, posso anche aggiornare i tuoi record.)
Spero che questo aiuti. Per favore, vai con le migliori pratiche se possibile.
Leggi altre domande sui tag mobile passwords web-service