1.引发问题
最近公司考虑到APk安全,因为内部业务需要,我们不得不在本地获取用户的密码,这时密码存储问题就来了。不可能明文存储吧,而且我们的网络请求路径也做了des加密,然后秘钥也在本地,被人反编译后一览无余。
2.思路分析
思路1:把APK加固,然而大家都知道,加固可能得用第三方的,有些第三方吧,在其他平台发布应用的时候还通不过,这就算了,如果是Google市场,根本就不允许加固,直接打回。
思路2:把秘钥存储到keyStore里,一般来讲存储密码,token什么的够用了,可是我们还有一个秘钥,前面说了一个des秘钥用来加密网络请求的,对于需要预设在 App 内的 API key / secret,因为 KeyStore 是运行时随机生成加密密钥,所以我们无法预估API key / secret 会被加密成什么样,自然也就无法预先把加密后的 API key / secret 预埋在 App 内,因此对于这类需要预设的固定密钥来了
思路3:放在so库里,在so库里做签名对比,这用即使别人获取到你的so库,签名不对也无法获得你的秘钥
参考文章:安全思路 实现思路 keyStore使用 官方安全提示