在Android应用程序中拥有Twitter消费者密钥和秘密硬编码有多安全？

概述我正在看这个示例代码： authConfig = new TwitterAuthConfig(BuildConfig.CONSUMER_KEY, BuildConfig.CONSUMER_SECRET); 是什么阻止某人反编译.apk并开始使用我的应用消费者密钥和秘密？ 如果它是您的密钥并且该应用程序供其他人使用,那么如果进行逆向工程,这些将在应用程序中可用.即使您在应用程序中加密它们并在使用时解 我正在看这个示例代码：

authConfig = new TwitterauthConfig(BuildConfig.CONSUMER_KEY,BuildConfig.CONSUMER_SECRET);

是什么阻止某人反编译.apk并开始使用我的应用消费者密钥和秘密？

解决方法 如果它是您的密钥并且该应用程序供其他人使用,那么如果进行逆向工程,这些将在应用程序中可用.即使您在应用程序中加密它们并在使用时解密,您也需要在应用程序中包含要解密的密钥,因此确定的恶意用户也可以进行反向工程和解密.

我也对此做了一些进一步的研究,因为它让我感到困扰.

我的理解是,CONSUMER_KEY和CONSUMER_SECRET是你的,应该受到保护.我不认为在分发给用户的任何应用程序中分发它们是个好主意.

相反,它们可用于创建“持票人令牌”,作为支持后端Web应用程序的一部分.可以通过从您自己的Web应用程序内部(即在安全的环境中)调用适当的Twitter Web API来请求承载令牌.

通过这种方式,您将拥有三个演员,您的移动应用程序,您的Web应用程序和Twitter服务.移动应用程序从您的Web应用程序请求持票令牌. Web应用程序通过Twitter REST API对服务器进行服务器调用,从twitter请求持有者令牌,您的令牌和秘密仍然是您的.持票人令牌由twitter返回到您的网络应用程序.然后,您的Web应用程序可以将持有者令牌存储在您的Web应用程序会话中,并充当对twitter请求的代理,并确保即使是持有者令牌仍然保密.

以下是一些参考：
    http://wickedlysmart.com/twitternews-oauth/
    https://dev.twitter.com/oauth/application-only
    http://hayageek.com/login-with-twitter/

总结

以上是内存溢出为你收集整理的在Android应用程序中拥有Twitter消费者密钥和秘密硬编码有多安全？全部内容，希望文章能够帮你解决在Android应用程序中拥有Twitter消费者密钥和秘密硬编码有多安全？所遇到的程序开发问题。

如果觉得内存溢出网站内容还不错，欢迎将内存溢出网站推荐给程序员好友。