应用程序中存储和保护私有API密钥的最佳实践

1. 目前你编译的应用程序包含关键字符串，但也包含常量名称APP_KEY和APP_SECRET。从这种自文档化的代码中提取密钥非常容易，例如使用标准的Android工具dx。

2. 您可以应用ProGuard。它将保持关键字符串不变，但将删除常量名称。它还将重命名类和方法为短而无意义的名称，如有可能。然后需要更多时间来确定每个字符串所代表的目的。

   请注意，设置ProGuard不应该像您想象的那么困难。首先，您只需要按照project.properties文件中的文档启用ProGuard。如果存在第三方库的任何问题，则可能需要在proguard-project.txt中禁止某些警告和/或防止它们被混淆。例如：

   -dontwarn com.dropbox.**
   -keep class com.dropbox.** { *; }
   

   这是一种暴力方法；在处理的应用程序正常运行后，您可以对此类配置进行优化。

3. 您可以手动混淆代码中的字符串，例如使用Base64编码或更复杂的内容（最好是本机代码）。然后，黑客必须静态地反向工程您的编码或在正确位置动态拦截解码。

4. 您可以使用商业混淆器，例如ProGuard的专门版本DexGuard。它还可以为您加密/混淆字符串和类。提取密钥需要更多的时间和专业知识。

5. 您可能能够在自己的服务器上运行应用程序的部分内容。如果您能将密钥保存在那里，它们就是安全的。

最终，这是一个经济权衡：密钥有多重要，您能负担多少时间或软件成本，对密钥感兴趣的黑客有多复杂，他们想要花费多少时间，延迟密钥被破解的价值有多大，任何成功的黑客将以什么规模分发密钥等。与整个应用程序相比，密钥等小信息更难以保护。从本质上讲，客户端的任何内容都不是不可破解的，但您可以肯定地提高难度。

（我是ProGuard和DexGuard的开发者）

以下是我个人的一些想法，但在我看来只有第一个选项比较可靠:

1. 将您的秘密保存在互联网上的某个服务器上，在需要时只需获取并使用。如果用户要使用Dropbox，则没有任何东西会阻止您向您的站点发出请求并获取您的秘钥。

2. 将您的秘密放入jni代码中，添加一些变量代码使您的库变得更大且更难被反编译。您还可以将关键字符串分成几个部分并将它们保留在各种位置。

3. 使用混淆器，同时在代码中添加哈希秘密，以后需要时解除哈希以使用。

4. 将您的秘钥作为图像资源的最后一个像素。然后在需要时在代码中读取它。混淆您的代码应该有助于隐藏将读取它的代码。

如果您想快速了解有多容易阅读您的apk代码，则可以使用APKAnalyser:

http://developer.sonymobile.com/knowledge-base/tool-guides/analyse-your-apks-with-apkanalyser/

另一种方法是根本不在设备上存储密钥！请参见移动API安全技术（特别是第三部分）。

利用间接传递的惯例，在API端点和应用程序身份验证服务之间共享密钥。

当客户端想要发起API调用时，它会请求应用程序身份验证服务进行身份验证（使用强大的远程认证技术），然后收到由密钥签名的、有时限的（通常为JWT）令牌。

每次API调用都会发送这个令牌，端点会在处理请求之前验证其签名。

实际密钥从未存在于设备上；事实上，应用程序甚至不知道它是否有效，只是请求身份验证并传递生成的令牌。通过间接传递的好处之一是，如果您想要更改密钥，可以这样做而无需要求用户更新已安装的应用程序。

因此，如果您想保护自己的密钥，首先将其从应用程序中删除是一个相当好的方法。

旧的不安全方式：

按照以下3个简单步骤来保护API/Secret key (旧答案)

我们可以使用Gradle来保护API密钥或Secret密钥。

1. gradle.properties（项目属性）： 创建具有密钥的变量。

GoogleAPIKey = "Your API/Secret Key"

2. build.gradle (Module: app) : 在build.gradle中设置变量，以便在activity或fragment中访问它。 在buildTypes {} 中添加以下代码。

buildTypes.each {
    it.buildConfigField 'String', 'GoogleSecAPIKEY', GoolgeAPIKey
}

3. 通过应用程序的 BuildConfig，在 Activity/Fragment 中访问它：

BuildConfig.GoogleSecAPIKEY

更新：

以上方案适用于通过Git提交的开源项目（感谢David Rawson和riyaz-ali的评论）。

根据Matthew和Pablo Cegarra的评论，上述方法不安全，反编译器将允许某人查看包含我们秘密密钥的BuildConfig文件。

解决方法：

我们可以使用NDK来保护API密钥。我们可以将密钥存储在本地C/C++类中，并在Java类中访问它们。

请参考此博客以使用NDK来保护API密钥。

关于如何在Android中安全存储令牌的后续

除了 @Manohar Reddy 的解决方案之外，可以使用firebase数据库或firebase RemoteConfig（具有Null默认值）：

1. 对您的密钥进行加密
2. 将其存储在firebase数据库中
3. 在应用程序启动时或需要时获取它
4. 解密密钥并使用它

这个解决方案有什么不同之处？

• 无需firebase凭据
• firebase访问受保护，因此只有带有签名证书的应用程序才能调用API
• 进行加密/解密以防止中间人拦截。但是，调用已经通过https到达firebase

一种可能的解决方案是在应用程序中对数据进行编码，并在运行时（当您想要使用该数据时）进行解码。我还建议使用progaurd来使得反编译应用程序源代码更难阅读和理解。例如，我将一个编码的密钥放入应用程序中，然后在运行时使用解码方法解码我的秘密密钥：

// "the real string is: "mypassword" "; 
//encoded 2 times with an algorithm or you can encode with other algorithms too
public String getClientSecret() {
    return Utils.decode(Utils
            .decode("Ylhsd1lYTnpkMjl5WkE9PQ=="));
}

一个经混淆加固的应用程序的反编译源代码如下：

 public String c()
 {
    return com.myrpoject.mypackage.g.h.a(com.myrpoject.mypackage.g.h.a("Ylhsd1lYTnpkMjl5WkE9PQ=="));
  }

对我来说，至少这很复杂。当我别无选择，只能在我的应用程序中存储一个值时，我会采取这种方式。 当然，我们都知道这不是最好的方法，但它对我有效。

/**
 * @param input
 * @return decoded string
 */
public static String decode(String input) {
    // Receiving side
    String text = "";
    try {
        byte[] data = Decoder.decode(input);
        text = new String(data, "UTF-8");
        return text;
    } catch (UnsupportedEncodingException e) {
        e.printStackTrace();
    }
    return "Error";
}

反编译版本：

 public static String a(String paramString)
  {
    try
    {
      str = new String(a.a(paramString), "UTF-8");
      return str;
    }
    catch (UnsupportedEncodingException localUnsupportedEncodingException)
    {
      while (true)
      {
        localUnsupportedEncodingException.printStackTrace();
        String str = "Error";
      }
    }
  }

而且你可以通过简单的谷歌搜索找到很多加密器类。

即使您将密钥存储在服务器端（您的PC），密钥也可能被黑客攻击并打印出来。也许这需要最长时间？无论如何，在最好的情况下，这只需要几分钟或几小时。

普通用户不会反编译您的代码。

这个例子涉及到许多不同的方面，我将提到一些其他地方没有明确涵盖的要点。

保护传输中的密钥

首先要注意的是，使用Dropbox API时，使用他们的应用程序认证机制需要传输您的密钥和密码。 连接是HTTPS，这意味着你无法拦截流量而不知道TLS证书。这是为了防止人在移动设备到服务器的旅程中拦截并阅读数据包。 对于普通用户来说，这是确保其流量隐私的一种非常好的方法。

但是，它不能有效防止恶意人下载应用程序并检查流量。很容易使用中间人代理处理进出移动设备的所有流量。 由于Dropbox API的本质，无需反汇编或逆向工程代码即可提取应用程序密钥和密码。

您可以进行证书和公钥固定，以检查从服务器接收到的TLS证书是否是您期望的证书。这向客户端添加了检查，使拦截流量更加困难。这将使现场检查更加困难，但固定检查发生在客户端，因此仍然可能有可能关闭固定测试。不过，这确实增加了防护层次。

保护静态密钥

作为第一步，使用类似proguard这样的工具可以帮助减少保存任何密钥的明显位置。您还可以使用NDK存储密钥和密码并直接发送请求，从而大大减少拥有提取信息所需技能的人数。通过不在内存中直接存储这些值来进一步混淆，您可以在使用之前对它们进行加密和解密，如其他答案建议的那样。

更高级的选项

如果您现在担心将密钥放在应用程序中，而且您有时间和资金投入更全面的解决方案，那么可以考虑将凭据存储在服务器上（假设您有任何服务器）。这将增加调用API的延迟，因为它将通过您的服务器通信，并可能增加运行服务的成本，因为数据吞吐量增加。

然后，您必须决定如何最好地与您的服务器通信，以确保它们受到保护。这很重要，以防止所有内部API出现相同问题。我可以给出的最佳经验法则是不直接传输任何秘密信息，以避免中间人攻击的威胁。相反，您可以使用您的秘密签署流量，并验证发往您的服务器的任何请求的完整性。计算消息的HMAC并以秘密为键进行签名是一种标准方法。我在一家安全产品公司工作，该公司也在此领域运营，这就是为什么这些东西使我感兴趣的原因。实际上，这是我同事撰写的一篇博客文章，其中涵盖了大部分内容。

我应该做多少？

对于任何这样的安全建议，您需要做出成本效益决策，以确定要让入侵者攻破安全措施的难度。如果您是保护数百万客户的银行，您的预算完全不同于在业余时间支持应用程序的人。实际上，几乎不可能防止有人攻破您的安全措施，但是通过一些基本预防措施，您可以走得很远。

最安全的解决方案是将您的密钥存储在服务器上，并通过您的服务器路由需要使用该密钥的所有请求。这样，密钥永远不会离开您的服务器，因此只要您的服务器是安全的，那么密钥也是安全的。当然，这种解决方案存在性能成本。