假设我正在使用firebase构建一个react-native应用程序,它假设在app中有密钥.有人可以窃取钥匙吗?如果是这样,那么我该如何保护呢?
没有100%安全的方法可以将任何秘密存储在设备上,因为您无法控制对源的访问。保证密钥安全的唯一方法是永远不要将密钥放在设备上。
您发现的任何解决方案都将存在缺陷,迈克尔·拉米雷斯(Michael Ramirez)的这篇文章很好地说明了这一点。
您需要权衡真正需要这些密钥的安全性。
例如,在Android上,我们将一些我们不太关心Google和其他API的密钥存储在res / values / secrets.xml字符串文件中,该文件不致力于版本控制。对某人来说很容易strings out_app.api,但是我们已经决定减少对保护这些密钥的关注。
<resources>
<string name="google_api_key">OurApiKey</string>
</resources>
如果您在Android上使用ReactNative并根据要存储的密钥类型进行操作,则可以使用通过Keystore API使用Android Keystore系统, 但是我认为这不适用于存储Firebase密钥。
| 归档时间: |
|
| 查看次数: |
2390 次 |
| 最近记录: |