通过哈希保护Android应用程序中的API URL访问

要真正保护URL的唯一方法是需要对所有请求进行身份验证。

其中一种方法是将请求更改为POST请求并附带某种身份认证令牌（一个简单的哈希即可）。如果没有提供身份认证令牌，则不会响应该请求。哈希值是您将在客户端和服务器中都硬编码的内容。

现在的问题是如何隐藏您的身份认证令牌。只要您没有开源您的代码，别人获取它的唯一途径就是反编译您的程序，正如您所提到的。为了防范这种情况，您可能需要考虑使用proguard (http://developer.android.com/guide/developing/tools/proguard.html)。

需要记住的一点是，此方法存在单点故障。如果您的身份认证令牌暴露了，你就完蛋了（例如HD DVD AACS加密键危机）。

另一个身份验证的方法是按用户进行身份验证。只要请求来自有效用户，您实际上不需要关心请求是来自Web浏览器还是Android应用程序。我认为这是做事情的更好方式。通过这样做，您可以按用户限制请求速率。但这需要您管理用户配置文件以及与之相关的所有问题。

总之，最后需要注意的是，您不需要真正关心某个API部分的URL是否已知。我不了解您的特定用例，但一定有一种方式可以设计您的API，以便您不必关心如何获取您的请求。此外，如果您正在执行真正的GET操作，则不应更改服务器上的任何内容。这意味着所有“恶意人士”可以做的就是从中获取数据。这严重限制了他们可以造成的损害。实际上，除非您有不想让某些人查看的敏感数据，否则您根本没有问题。如果确实存在这样的敏感数据，则应认真考虑我的按用户进行身份验证的解决方案。

不要相信客户端进行验证。无论是在Web浏览器中的JavaScript，还是像iPhone这样的一些受限平台中都是如此。
如果应用程序可以进行API调用，那么显然所有需要进行这些调用的内容都在手机上（秘密、哈希函数、API密钥等），然后某人总是可以转储手机存储并获取所有这些数据。他们随后可以发起任何请求。
您需要做的是对用户进行身份验证，然后在服务器端验证输入。

在数据传输中使用SSL（HTTPS）。在任何数据发送之前，交换都会被加密，因此任何监听者都无法看到发送到服务器的URL或数据。为了自行验证这一点，请在开发系统上安装Wireshark并将URL加载到浏览器中。您将不会看到任何明文数据（GET或POST方式发送的URL或数据）。

您可以使用一种有些混淆的Java方法来混淆URL的每个字母。这样以某种方式创建自己的字典，使得如果有人对APK进行反编译，URL可能会出现为123.3*15*13或类似的形式，他们将毫无头绪。在这方面，您最好使用Proguard来混淆它，这样您的混淆对于试图逆向工程的人就没有意义了。

您可以像这样制作一个简短的Java方法：

public String confuseString() {
    Stringbuilder sb = new StringBuilder();
    //your real URL would be abc.com, but in the app you have myURL = 123.3*15*13
    //With what I'm saying the * would precede a 2 digit number that represents 1 letter
     for (int i = 0; i < stringLength; i++){
         String letter = myURL.charAt(i);
        if (letter.equals("1"){
            letter = a;
            sb.append(letter);
        } // you would go one to code each character into a letter
     }

}

当然，会有更多的if语句，但这将允许您混淆您的URL而不进行任何服务器端更改。如果您使用Proguard，那么您创建的整个方法对于试图反向工程的人来说将毫无意义。

当然，您可以使您的混淆比我建议的更加复杂，但这只是一个想法。

基本上，您将以非常令人困惑的方式加密URL。

这里有一个答案，可能是更好的加密方法，或者至少提供额外的加密：

Java - encrypt / decrypt user name and password from a configuration file