问题场景是这样的:
Android程序这边,需要一个secret_key来对需要提交到服务端的数据进行签名,服务端通过验证签名来确保不是伪造的,而是由真实的该Android程序的用户发出的。
那么在这一过程中,如何安全的保存secret_key成为关键
由于Android很容易被反编译,即便做了混淆也无法保证secret_key的安全,如果是把secret_key放在.so文件中,然后通过方法调用来取得secret_key,但是.so文件被别人提取出来后调用,那一样无法保证secret_key的安全。
不知道有没有更好的方法。
补充,https应该可以作为一种选项吧,但如果没有https,是否还有其他方法?
简单的说,要讨论的是:无https情况下,移动端与服务端的可信通信。
保存在客户端就有可能被人那到,让客户端从服务器上面取吧!每个用户都有自己的secret_key,客户端使用这个签名,服务器端做验证。
用服务器签发的证书给key签名