以微信微博oAuth认证为例,看官方提供的获取AccessToken并不需要AppSecret传入,但是使用Umeng时需要传入,为什么?
AppSecret怎么安全保存在本地?
谢谢
闭关修行中......
除非你的程序没有服务端,是单纯的客户端(比如第三方微博客户端),否则请把换取AccessToken的任务交给你的服务器,并把AppSecret放在服务器上。在App本地保存,是没有绝对安全的。
AccessToken
AppSecret
OAuth流程和umeng的那个不一样。 这个完全是流程设计的问题,没有为什么。
保存在本地就没有绝对的安全,这是理论上的。 指能是增加破解的成本。 一般来说用NDK写在代码中,比写在Android的java代码中更难破解。 如果是在NDK中写入加密后的secret。 然后把加密的密钥在另一处代码中写。 使用的时候解密再用。 代码反编译破解的难度就更大一些了。
@ThinkingQuest 如果不把Secret保存在本地,有别的方法处理secret的取用吗?
除非你的程序没有服务端,是单纯的客户端(比如第三方微博客户端),否则请把换取
AccessToken
的任务交给你的服务器,并把AppSecret
放在服务器上。在App本地保存,是没有绝对安全的。OAuth流程和umeng的那个不一样。 这个完全是流程设计的问题,没有为什么。
保存在本地就没有绝对的安全,这是理论上的。 指能是增加破解的成本。 一般来说用NDK写在代码中,比写在Android的java代码中更难破解。
如果是在NDK中写入加密后的secret。 然后把加密的密钥在另一处代码中写。 使用的时候解密再用。 代码反编译破解的难度就更大一些了。
@ThinkingQuest 如果不把Secret保存在本地,有别的方法处理secret的取用吗?