在iOS中，我该如何存储一个秘密的“key”，以便我能够与我的服务器进行通信？

听起来很疯狂，但这可能是最好的解决方案。其他所有方法都更加复杂，但安全性并没有提高太多。您使用的任何花哨的混淆技术都将很快被逆向工程，就像他们发现这个密钥一样。但是，这种静态密钥解决方案虽然非常不安全，但几乎与其他解决方案一样安全，同时几乎不会增加额外的复杂性。我喜欢它。

它几乎立即就会被破解，但所有其他解决方案也会如此。所以保持简单。

在这里真正想做的一件事情是使用HTTPS和固定您的证书。我会选择一个长的，随机的密钥，而不是一个单词。理想情况下，它应该是一串完全随机的字节，以原始值存储（而不是字符），以便在您的二进制文件中不那么明显。如果您想变得疯狂，可以在发送之前对其应用SHA256（因此实际密钥永远不会出现在您的二进制文件中）。同样，这很容易被破解，但很容易，不会浪费大量时间进行开发。

实现这个功能的付出超过一个小时可能不值得。如果您想了解更多相关内容，请参阅 iPhone应用程序到网页的安全https加密及其链接。

通过在应用程序中硬编码字符串，攻击者可以轻松解密您的二进制文件（使用dumpdecrypt等工具），并获得您的字符串（简单的十六进制转储将包括应用程序中的所有字符串）。
有一些解决方法。您可以在REST API上实现一个端点，返回您的凭据，然后在启动时调用它。当然，这有其自身的非微不足道的安全问题，并需要额外的HTTP调用。我通常不会这样做。
另一种选择是以某种方式混淆秘密密钥。通过这样做，攻击者将无法在解密后立即识别您的密钥。cocoapods-keys是使用此方法的一种选项。
这里没有完美的解决方案-您能做的最好的事情就是尽可能地使攻击者难以获取到您的密钥。
（另外，请确保在发送请求时使用HTTPS，否则这是破坏您的密钥的另一种好方法。）

虽然内部令牌通常用于某些方案，但您可能最终会实现TLS以保护网络流量和令牌。在另一个回复中，Rob Napier提到：这里。
在此处使用自己的证书链可允许使用现有的TLS安全和身份验证机制以及iOS密钥链，并为您提供吊销TLS凭据的选项（如果（何时？）需要），并允许客户端将其连接固定到您的服务器并检测服务器欺骗（如果需要）。
您自己的证书颁发机构和证书链是免费的，并且一旦将根证书加载到客户端中，您自己的证书与商业购买的证书一样安全。
简而言之，这种基于证书的方法结合了加密和身份验证，使用现有的TLS机制。

我使用了PFConfig对象（一个字典），它允许您在应用程序中检索存储为服务器环境参数的变量值。
类似于可以使用ENV在Web站点服务器端编程（如Ruby或PHP）中检索的环境变量。 在我看来，这与在Ruby或类似语言中使用环境变量一样安全。

PFConfig.getConfigInBackgroundWithBlock{
      (config: PFConfig?, error: NSError?) -> Void in
      if error == nil {
        if let mySecret = config["mySecret"] as? String {
          // myFunction(mySecret)
        }

    }

看起来你正在使用访问令牌。我建议使用Keychain存储访问令牌。对于客户端ID，我建议将其保留为变量，因为客户端ID不会更改，而访问令牌会随用户或刷新令牌而更改，而Keychain是存储用户凭据的安全位置。