hybrid app本地代码安全问题
用cordova之类的做的混合应用,release出来的apk ipk解压后可以得到源码。虽然js代码可以被压缩丑化,但是经过代码整理还是具有一定可读性,接口和逻辑直接暴露,有没有什么方式能让代码更安全?
如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。
绑定邮箱获取回复消息
由于您还没有绑定你的真实邮箱,如果其他用户或者作者回复了您的评论,将不能在第一时间通知您!
用cordova之类的做的混合应用,release出来的apk ipk解压后可以得到源码。虽然js代码可以被压缩丑化,但是经过代码整理还是具有一定可读性,接口和逻辑直接暴露,有没有什么方式能让代码更安全?
由于您还没有绑定你的真实邮箱,如果其他用户或者作者回复了您的评论,将不能在第一时间通知您!
接受 或继续使用网站,即表示您同意使用 Cookies 和您的相关数据。
发布评论
评论(1)
网络接口可以抓包,java,js也可以逆向,所以核心业务逻辑不要放在客户端上。
其实对于网络接口,不论什么语言java也好c#也好objc也好js也好,你都应该专门写一个动态链接库,只暴露api出来,不暴露网络调用实现,然后在app里调用。
对于敏感的数据,比如客户端的secret,当然也要加密储存在动态链接库里,还要注意不要放在常量储存区,发起网络请求前先解密,然后secret签名什么的。
不过即使这样secret也不安全,放在用户手上的东西都不安全,所以你还要定期更换secret。