我很好奇,如果没有商业产品进行混淆,是否有办法安全地存储API url和参数,使其无法在逆向工程中被编译?我尝试了所有我的应用程序,它们的API url和代码都很容易阅读。 我非常担心安全问题。
我很好奇,如果没有商业产品进行混淆,是否有办法安全地存储API url和参数,使其无法在逆向工程中被编译?我尝试了所有我的应用程序,它们的API url和代码都很容易阅读。 我非常担心安全问题。
一个简单的避免不良实践的方法是将值存储在环境变量内,这样只有您的机器知道它,然后以某种方式读取这些值并在构建时将其注入到代码中。让我们看看如何使用Android Studio、Gradle和BuildConfig来完成此操作。
首先,我们需要创建这些环境变量。在Linux和Mac中,请创建或编辑文件~/.gradle/gradle.properties(注意实际的Gradle用户主目录位置)并添加一些值:
WEBServiceBaseURL="http://192.168.2.102:2323/"
WEBServiceBaseSMSURL="https://www.example.com/"
其次,在您的模块的 build.gradle 文件中添加以下行
//Add these lines
def Base_URL = '"' + WEBServiceBaseURL + '"' ?: '"Define BASE URL"';
def SMS_Base_URL = '"' + WEBServiceBaseSMSURL + '"' ?: '"Define SMS BASE URL"';
android.buildTypes.each { type ->
type.buildConfigField 'String', 'Base_URL', WEBServiceBaseURL
type.buildConfigField 'String', 'SMS_Base_URL', WEBServiceBaseSMSURL
}
在Java文件中使用
BuildConfig.Base_URL会返回URL字符串
public static Retrofit getClient() {
if (retrofit==null) {
retrofit =new Retrofit.Builder()
.baseUrl(BuildConfig.Base_URL)
.addConverterFactory(GsonConverterFactory.create())
.build();
}
return retrofit;
}
我找到了一种解决方案,可以使用NDK隐藏基本URL以保持API的安全性。将Base64编码的字符串放在cpp文件中,并从Java类中调用它并解码Base64。
将C++(NDK)支持添加到您的项目中。您可以将其包含到新项目或旧项目中。
您的CPP文件名称可以是(native-lib.cpp)
在线搜索Base64编码器并对您的基本URL进行编码。现在将编码后的字符串保留在cpp文件内
示例代码如下:
#include <jni.h>
#include <string>
extern "C" JNIEXPORT jstring JNICALL
Java_com_touhidapps_MyProject_utils_MyConstants_baseUrlFromJNI(JNIEnv *env, jobject) {
std::string mUrl = "aHR0cDovL2FwaS5leGFtcGxlLmNvbS8="; //"http://api.example.com/";
return env->NewStringUTF(mUrl.c_str());
}
在MyConstants.java类中:(我将所有API网址都保存在这里。)
// load c++ library
static {
System.loadLibrary("native-lib");
}
public static native String baseUrlFromJNI();
// decode base64 to a string and get normal url
public static String getSecureBaseUrl() {
String mUrl = baseUrlFromJNI();
try {
String text = new String(Base64.decode(mUrl, Base64.DEFAULT), "UTF-8");
return text;
} catch (UnsupportedEncodingException e) {
e.printStackTrace();
}
mUrl = "http://demo.example.com/"; // don't change this link. This will not execute normally, if exception happens then it will return a demo url.
return mUrl;
}
现在您可以像下面这样获取原始url:
public static final String API_BASE = "" + getSecureBaseUrl();
您的问题不适合在StackOverflow上讨论,因为主题太广泛且主要基于个人意见。但是,我想作为答案在这里分享一些我的想法。
使用代码混淆隐藏API URL绝对是一个好主意,并且在某些情况下可能有效。您还可以考虑在代码中加密API URL并将加密后的URL存储在SharedPreferences
或本地存储中,每次使用API URL调用Web服务时需要再次解密。
但是,这些方法都不能确保您的API URL无法破解。如果有人真的想获取您的API URL,则可以通过跟踪您用于调用Web服务的网络轻松获取这些内容。
因此,在大多数情况下,加密API URL和混淆变量名称以隐藏API URL将不起作用。是的,我也没有看到获取API URL会有任何安全漏洞。因为API服务器应该设计成可以阻止攻击者通过API进行的非法服务调用。您可以考虑在主机机器上设置防火墙或设置基本身份验证协议来保护数据。有很多方法可以防止这些安全漏洞活动。您还可以考虑阅读这篇文章,我发现它对了解如何保护API免受滥用很有帮助。
希望这可以帮到您。