我正在为Mac OS X创建一个Twitter客户端,并且我有一个消费者密钥。据我了解,我不应该分享这个密钥。问题是,当我将其作为字符串文字放入我的应用程序并使用它时,就像这样:
#define QQTwitterConsumerSecret @"MYSECRETYOUMAYNOTKNOW"
[[QQTwitterEngine alloc] initWithConsumerKey:QQTwitterConsumerKey consumerSecret:QQTwitterConsumerSecret];
我的应用程序二进制文件中有数据部分。黑客可以读取这些数据,对应用程序进行反汇编等操作。
存储消费者秘密信息有什么安全的方法吗?我应该加密它吗?
没有真正完美的解决方案。无论你做什么,有人专门针对它就能够窃取它。
即使是Twitter的iPhone/iPad/Android/mac等应用程序中也有一个秘密密钥,他们很可能只是以某种方式将其隐藏起来。
例如,您可以将其拆分为不同的文件或字符串等。
注意:使用十六进制编辑器,您可以在二进制文件中读取ASCII字符串,这是最简单的方法。通过将其拆分成不同的部分或使用函数调用来创建秘密密钥通常可以使该过程更加困难。
char key[100];
++key[0]; ... ; ++key[0]; // increment as many times as necessary to get the ascii code of the first character
// ... and so on, you get the idea.
int hash(char *s) { return 0; }。 - R.. GitHub STOP HELPING ICE在不仅限于您自己的服务器上运行的应用程序中,不应使用秘密API密钥。
即使它完全隐藏,您仍然可以窥探通过电线传输的数据。由于这是您的设备,您甚至可以篡改SSL(使用由添加到设备的受信任CA列表中的自定义CA创建的证书进行中间人攻击)。或者您可以钩入SSL库以在实际加密之前拦截数据。
真的很晚的回答...
如果您设置自己的服务器,可以使用它来帮助桌面应用程序在不共享(即嵌入)您的秘密密钥的情况下获得用户在 Twitter 上的授权。
您可以使用以下方法:
当用户安装桌面应用程序时,必须向 Twitter 和您的服务器注册它 *) *) 应用程序要求服务器生成令牌请求 URL *) 服务器将生成的 URL 发送到应用程序 *) 应用程序将用户引导至授权 URL *) 用户在 Twitter 上对您的应用程序进行授权并将生成的 PIN 粘贴到其中 *) 使用 PIN 您的应用程序抓取令牌 *) 所有进一步的通信都使用令牌,不涉及您的服务器
注意:该应用程序使用用户凭据(例如:ID 和密码)登录到您的服务器。