我刚刚在Android上与UrbanAirship集成了。
他们的示例代码使用.properties
文件来存储API密钥和密钥。我觉得这相当令人担忧,因为扩展APK后这些文件很容易被访问。
我不想开启关于在应用程序中存储敏感数据的辩论。我只想知道是否存储类似这样的密钥是不可接受的。
如果是的话,哪种方法更安全但直截了当?我目前将自己的API密钥存储为全局文件中的静态变量。
由于APK内容未加密,因此字符串可以从.properties文件中提取,也可以从已编译的类中提取。您可以通过将其加密存储在Globals类中来使其更难以提取,但不要期望您向用户发布的任何内容都能保持机密。