目前,根据 quickblox 的示例应用程序,帐户 key 、服务 key 和服务 secret 存储在应用程序本身中。
我担心的是,任何人都可以轻松地对应用程序进行逆向工程以获取这些 secret 并创建任意数量的虚假帐户来欺骗其他用户(甚至删除帐户?)。
或者,即使我在服务器上生成 session token ,用户也可以获取此 token 并(根据我的理解)实现与上述相同的事情。
我想要的是为用户提供足够的信息来使用他的服务器生成的凭据登录并发送/接收消息。
有没有办法做到这一点?也许像在服务器上创建一个只允许登录和聊天的 session 。
最佳答案
正确的方法是混淆您的帐户 key 、服务 key 和服务 secret 值
有很多方法可以做到这一点,ProGuard 也可以提供帮助
您还可以在服务器端创建一个 session token 并通过某种方式将此 token 传递给您的应用程序,例如让另一个后端使用此类 API,因此最终用户将从该 API 请求一个 token ,然后只需使用它而不存储任何应用程序中的感知数据
关于android - Quickblox:阻止用户创建帐户,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/29359216/