Я прочитал все эти ответы, и я не думаю, что есть какой-то способ, которым вы можете безопасно встроить это - независимо от того, где вы его положили или как вы его запутываете.Пока он находится в вашем XAP и декодирован в приложении, он всегда будет доступен для взлома.
Если вам нужно отправить ключ в xap с разумной степенью защиты, то я думаю, что ответ @ makaдает лучшую ставку - обфусцируйте ее как можно лучше - но не думайте, что это сделает вас защищенным - то есть, не делайте этого для приложений мобильного банкинга!
В качестве альтернативы, если вам действительно нужна безопасность, тогдаработать не только в приложении, но и на веб-сервере.Например, если вы работали с приложением Facebook и хотели как-то защитить свой секретный ключ Facebook, вам нужно было бы перенаправить пользователя из вашего приложения на веб-страницу вашего сервера для аутентификации.Затем эта веб-страница должна была бы направлять пользователя через процесс получения токена доступа - и тогда только этот токен доступа (вместе с общедоступным appid) должен был бы вернуться к вашему приложению.А для тех веб-сервисов, которым требуется знание секретного ключа для сопровождения каждого звонка, я боюсь, что каждый отдельный звонок, вероятно, должен будет проходить через ваш сервер.