我一直在使用 AWS(亚马逊网络服务),特别是 simpleDB,用于使用其 iOS/android 客户端库的几个智能手机应用程序。
到目前为止,数据非常良性,所以我不太担心数据保护。
我的下一个应用程序项目将需要一个包含用户名和密码的“用户”表/域。
我担心的是,有人对 Android java 版本的应用程序进行逆向工程,那么很容易获得所有 simpleDB 数据,包括所有密码。
基本的 TVM 事物(令牌自动售货机,其中临时令牌替换代码中没有的 AWS 凭证)似乎并不能防止这种情况,因此很高兴听到人们认为推荐的方法是什么使用 AWS 登录应用程序的一部分,而不是完全不安全。
将密码表存储在其他地方/以不同的方式访问?
任何评论表示赞赏,非常感谢。
我可以建议您两种方法来保护您的应用程序 -
第一种方法:
您可以将 AWS 密钥保存到应用程序中的一个文件中,该文件将使用私钥进行加密。启动时,您的代码将使用公钥读取该文件,并且只能获取您的 AWS 密钥。请记住此方法中的以下几点 -
- 您的代码必须经过混淆。
- 您的密钥必须以加密形式存入文件中,这样您将获得双重保护。
- 您的文件必须经过数字签名。
第二种方法:
您还可以创建自己的网站来管理您的用户身份验证,如果用户成功通过身份验证,它将在使用私钥加密后发送AWS密钥,在他对应用程序的响应中,您的应用程序将在解密后使用该AWS密钥它与公钥。请记住此方法中的以下几点 -
1. 您的回复必须以加密形式返回。
2. 您的网站必须安全并且必须在 HTTPS 上运行。
3. 你的代码必须被混淆。
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)
