Java защита секретных ключей

1

4

Java код очень легко декомпилировать, а в коде у меня хранятся напрямую cliend_id и client_secret для обращения к API, мне так не очень нравится, допустим в Python можно вынести ключи в окружение сервера (ENV), как быть в Java для Android приложения?

Ссылка

←	to_string was not declared in this scope

Установка Qt Assistant, Linguist, etc

→

Например можно зашифровать их. Только это защита от очень слабого взломщика. Если сильно захочется их вытащить — способов защитить нет. Настраивай в API минимум прав для этого ключа, чтобы тот, кто вытащит, не смог сделать ничего деструктивного.

~~Legioner~~ ★★★★★
(19.10.15 21:54:41 MSK)

Например, хранить ключ к апи у скбя и передавать его с помощью ассиметричного шифрования

GblGbl ★★★★★
(19.10.15 21:56:25 MSK)

Ссылка

Не пытаться реализовать криптографию самому, а использовать что-нибудь из проверенных решений?
https://github.com/google/keyczar
https://tersesystems.com/2015/10/05/effective-cryptography-in-the-jvm/

kovrik ★★★★★
(19.10.15 21:57:58 MSK)

Самый простой и правильный способ — хранить secret на стороне серввера и клиенту, вообще-то, не давать. Тут вопрос, что за API. И зачем все это нужно.

Quickern ★★
(19.10.15 21:59:24 MSK)

Ответ на: комментарий от Legioner 19.10.15 21:54:41 MSK

Ну в принципе так и есть, я хотел сделать чтобы без ключа нельзя было бы зарегистрировать пользователя, и восстановление пароля, это единственные 2 метода, которые не требуют access token.

Int64 ★★★
(19.10.15 22:05:36 MSK) автор топика

Ответ на: комментарий от Quickern 19.10.15 21:59:24 MSK

API свой.

Int64 ★★★
(19.10.15 22:06:12 MSK) автор топика

Ссылка

у тебя баг в архитектуре - на клиенте не нужен секретный ключ

максимум что может оказаться на клиенте - приватный/секретный ключ юзера, но для этого в андроиде есть встроенные криптохоронилища и защита паролем

Deleted
(19.10.15 22:08:00 MSK)

Ответ на: комментарий от Deleted 19.10.15 22:08:00 MSK

Вообще эти 2 ключа нужны только для регистрации, восстановлении пароля и авторизации, дальше доступ к методам API только по Access Token

Int64 ★★★
(19.10.15 22:10:15 MSK) автор топика

Ответ на: комментарий от Int64 19.10.15 22:05:36 MSK

Используй верификацию через СМС и никакие ключи не нужны.

~~Legioner~~ ★★★★★
(19.10.15 22:11:05 MSK)

cliend_id и client_secret для обращения к API

Ну проснифают твой траффик, хоть обзащищайся.

vasily_pupkin ★★★★★
(19.10.15 22:11:28 MSK)

Ссылка

Ответ на: комментарий от Legioner 19.10.15 22:11:05 MSK

СМС денег стоят ) После регистрации нужно подтверждать телефон как раз через СМС, хотелось чтобы нельзя было регистрироваться чтобы смс лишний раз не отправлялось, а то можно и скрипт написать чтобы на рандомные телефоны отправлял, тогда еще и заблокируют аккаунт с которого отправляю смс.

Int64 ★★★
(19.10.15 22:24:00 MSK) автор топика

Ответ на: комментарий от Int64 19.10.15 22:10:15 MSK

это паранойя, и хуже того никак не защитит от спама

Deleted
(19.10.15 22:30:09 MSK)

Ссылка

Ответ на: комментарий от Int64 19.10.15 22:24:00 MSK

тебе знакомо такое слова как captcha ?

Deleted
(19.10.15 22:30:37 MSK)

Ответ на: комментарий от Deleted 19.10.15 22:30:37 MSK

да, уже стоит ) еще ограничил количество запросов на регистрацию с одного устройства, но все же можно через curl тогда запросы делать, если будут ключи.

Int64 ★★★
(19.10.15 22:35:12 MSK) автор топика