[問題] 如何透過SDK保護資料不被第三方APP取得?

看板AndroidDev作者 (陪我一起走。)時間9年前 (2016/12/23 09:30), 編輯推噓3(308)
留言11則, 7人參與, 最新討論串1/1
我們把自家的應用程式API打包成SDK開放給APP的開發者使用,讓開發者的APP變成我們自 家服務的通路。 但由於用戶的資料(如帳號密碼)會通過SDK回傳到我們的Server。這個過程中,APP開發 者有可能攔截到用戶的資料。 有辦法避免SDK中的資料被APP擷取嗎?放在Library中可行嗎? -- Sent from my Android -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 117.19.67.184 ※ 文章網址: https://www.ptt.cc/bbs/AndroidDev/M.1482456604.A.FA3.html
12/23 10:10, , 1F
擷取方法太多 大多是讓人擷取到也看不懂解不開
12/23 10:10, 1F
12/23 10:10, , 2F
明文一律禁止
12/23 10:10, 2F
12/23 10:26, , 3F
你只能做到把資料加密後送出,至於要用什麼方式加密就
12/23 10:26, 3F
12/23 10:27, , 4F
是個問題
12/23 10:27, 4F
12/23 10:42, , 5F
可以學google用permission的方式分級使用者的資料
12/23 10:42, 5F
12/23 11:55, , 6F
AES
12/23 11:55, 6F
12/23 13:26, , 7F
看要做到什麼程度,如果你要防的是開發者而不是一般使用者
12/23 13:26, 7F
12/23 13:28, , 8F
最少要把library都用native code寫然後加混淆、竄改防護
12/23 13:28, 8F
12/23 14:40, , 9F
不要只提供api, 提供activity給開發者call, 要登入就透過你
12/23 14:40, 9F
12/23 14:41, , 10F
的activity. 用回傳token來當session track ?
12/23 14:41, 10F
12/31 21:01, , 11F
要寫到Native C++那層 才算有在做防護
12/31 21:01, 11F
更多 echoing 的文章
文章代碼(AID): #1ON7uS-Z (AndroidDev)