Question

Я пишу приложение для iPhone, которое интегрируется со сторонними API. Эти API-интерфейсы используют OAuth (ключ / секрет, специфичный для моего приложения, но не для каждого пользователя), чтобы аутентифицировать, к какому приложению делается запрос от имени.

Безопасно ли (или насколько безопасно) просто вставить ключ / секрет в код? Могут ли данные такого типа быть перепроектированы? Есть ли лучший способ включить эти данные в проект?

rook · Answer 1 · 27 октября 2010

На iPhone нет места, чтобы скрывать данные.Пользователь с взломанным iPhone имеет больший контроль над устройством, чем любой разработчик.Если возможно, вам следует настроить веб-службу, такую как служба REST или SOAP, для выполнения этих транзакций OAuth от имени клиента.

Boobalan · Answer 2 · 28 июня 2013

Как сказал ранее Rook, в iPhone нет способа скрыть ваши данные. Но вы можете сделать работу хакера такой сложной. Я только что обошел эту проблему.

Encryption flow

Поместить информацию о ключе oAuth в PLIST
Вручную я шифрую этот PLIST, используя ключ AES, и я получил зашифрованный "CIPHER TEXT"
Измените ключ AES, добавив символы между ними с вашей собственной логикой. Так как во время выполнения требуется расшифровать plist
Добавьте этот модифицированный ключ со списком "CIPHER TEXT" и сохраните это значение в New plist.
Удалить старый plist с информацией об oAuth

Теперь у вас есть только один plist с зашифрованным значением с измененным ключом

Преимущество:

Взлом очень сложен, так как у хакера нет правильного зашифрованного текста в листе
Чтобы взломать этот код, они должны знать, чтобы отделить Модифицированный ключ AES от текста Шифра.
Вы нашли Модифицированный ключ AES, они не имеют никакого представления о алгоритме добавления, здесь я просто использовал ДАЖЕ позицию персонажа, но вы не можете изменить это, и вы можете занять 3 или 4 позицию персонажа. Что на самом деле будет отличаться для каждого разработчика

для получения дополнительной информации, пожалуйста, перейдите по ссылке ниже;

https://sites.google.com/site/greateindiaclub/mobil-apps/ios/securelystoringoauthkeysiniosapplication

Chris Wagner · Answer 3 · 27 октября 2010

Я бы посоветовал изучить услуги Keychain, предоставляемые Apple

http://developer.apple.com/library/ios/#documentation/Security/Conceptual/keychainServConcepts/01introduction/introduction.html

Хранение ключей OAuth в коде для приложений iPhone

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 3 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Хранение ключей OAuth в коде для приложений iPhone

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 3 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Нет похожих вопросов