Я ограничил свой ключ Google API пакетом мобильного приложения. Это все еще можно украсть?

Question

Ключ API Google для доступа к API Карт Google хранится в моем манифесте мобильного приложения React-Native. Я следовал рекомендациям и ограничил его использование пакетом моего приложения и API Карт на GCP.

Может ли злонамеренный пользователь декомпилировать мое приложение, извлечь ключ и имя пакета и все еще использовать его?

Answer 1

Пока ключ API находится в вашем коде, APK приложения всегда можно декомпилировать и расшифровать, чтобы получить ключ API.

Единственное решение, которое гарантирует, что ключи не будут открыты, простое - не помещайте их в проект в первую очередь. Я обычно создаю файл local.properties, который содержит мой путь к хранилищу ключей, мои пароли и ключи API в виде пар ключ-значение. Затем я исключаю из своей VCS и просто открываю FileStream и считываю эти объекты значения ключа.

Вы не можете таким образом утратить свои ключи API.

Answer 2

Если вы используете функцию ограничения приложения Android, ваш ключ API Google безопасен и не может быть украден.

Существует два типа ограничений ключа API: API ограничения и ограничения применения. Ограничения приложения ограничивают использование ключа API указанным c веб-сайтом, веб-сервером или приложением. Платформа Google Maps поддерживает четыре типа ограничений приложения:

• ...
• Android ограничение приложения: ограничивает использование вызовов из приложения Android с указанным именем пакета.

взято из Рекомендации GCP Google Maps .