Gle*_*leb 5 encryption android ios cordova
我应该开发一个phonegap应用程序.我需要加密我对服务器端的请求,然后解密.
HTTPS不是解决方案,因为我需要签署请求以确保数据不是假的.我可以使用任何异步加密(应用程序将生成private/public密钥并将公钥发送到服务器).但这样我需要将我的私钥保存在设备上.
问题是:如何安全地将私钥保存在设备上?
我可以使用sqlclipher(加密我的本地SQLite数据库)并将其集成到我的phonegap应用程序中.很好,但在这里我必须为数据库保密密钥:)
var db = window.sqlitePlugin.openDatabase({name: "DB", key: "secret1"});
任何有权访问手机的人都可以获得此密钥.所以这里我有同样的问题:)
拜托,给我任何建议.
谢谢!
适用于iOS和Android的ps应用
您必须区分加密和身份验证.
首先,我建议使用https加密您的邮件并安全地传输它们.
其次,我建议使用HMAC来验证您的邮件.它基本上是这样的:
在编译时生成应用程序和服务器已知的秘密字符串.您可以将此秘密直接存储在应用程序的源代码中,以便永远不会传输到服务器或从服务器传输.这可能是您的私钥/公钥方法的主要区别:您可以将秘密编译到您的应用程序中,而不是稍后在一些用户可访问的存储中编写它."直接进入你的应用程序"意味着Phonegap不在你的HTML/JS文件中,而是在本机源代码中!如有必要,您必须将访问者桥接到javascript.
当用户第一次启动您的应用时,在您的应用中设置用户ID(= key; long,random!).如果要对用户进行身份验证,可能需要某种登录/密码机制.(存储用户ID以及从设备上的用户ID和共享密钥生成的HMAC.每次读取用户ID时,请根据哈希检查以确保用户ID未被欺骗.)
在你的应用程序中
在服务器端
/comment/1或发送相同的DELETE请求,则会有很大的不同/user/1.通过反编译源代码,有可能获得共享机密和有关计算HMAC哈希的方式的信息.我认为没办法避免这种风险....没有深入本土发展:
iOS钥匙扣
Android安全功能
http://developer.android.com/training/articles/security-tips.html
默认情况下,PhoneGap 本身不提供加密功能。基于iO和Android(Gingerbread版本以上)的设备支持全盘加密。但这不适用于 PhoneGap/Cordova 开发人员。
来自维基:
PhoneGap 通常仅限于其运行平台的安全功能。
参考https://github.com/phonegap/phonegap/wiki/Platform-Security
对于一些基于 JS 的解决方案,请尝试http://code.google.com/p/crypto-js/