我正在尝试找到一种方法,在发布之前确保我的 Android 应用程序的安全。目前,我使用 https/ssl 进行服务器通信,并在应用程序与之通信的服务器上隐藏密码保护目录。在这些目录中,应用程序与 PHP 脚本交互,处理与服务器数据的通信。据我所知,我最大的漏洞是在 apk 文件中使用文字字符串来访问 PHP 脚本所在的服务器密码保护目录。这些文字字符串可以通过二进制检查或可能附加调试器来检测。到目前为止我读到的是不可能混淆文字字符串。
我的问题是,如何防止运行 PHP 脚本所在的隐藏目录的密码被发现?或者,我应该采取什么其他方法来保证服务器登录安全并减少服务器攻击的机会?
最佳答案
我认为最好的方法是在运行时验证应用程序的签名证书。这样您就不需要在应用程序中对任何凭据进行硬编码。目前 Facebook SDK 正在使用它。请看下面。
关于android - 如何防止逆向工程apk获取服务器登录?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/32304093/