如何保护 Adob​​e Air Apps 中的敏感按键？

Question

交付需要私钥才能与某些在线 API 通信的 Adob​​e Air 应用程序的最佳实践是什么？

Adobe Air 应用程序似乎是通过完整的源代码交付给用户的，因此在源代码中存储任何密钥将是一个非常糟糕的主意。我读过一些建议，说从服务器下载密钥，但这也有同样的问题，因为允许下载的 URL 必须存储在源代码中。另外，建议存储在加密的本地存储中对我来说也没有意义，因为我仍然必须以某种方式获取私钥。

Answer 1

我认为这是在任何应用程序中传递密钥的一个全球性问题，因为一切都可以进行逆向工程（可执行文件、IL 读取器等的拆卸）。

无论您做什么，如果客户端应用程序需要以某种方式“知道”密钥，那么用户就可以知道密钥。

假设：

1. 您交付的产品（“客户端应用程序”）依赖于某些第三方 Web 服务（“服务”）。
2. 您的公司只有一把密钥（“公司密钥”）用于使用该服务。
3. 公司密钥绝不能暴露（因为可能被滥用）
4. 客户端应用程序持有或传输的每条信息都会被暴露

解决方案可能是使用某种代理：

1. 代理实现服务的 API
2. 客户端应用程序连接到proxy
3. 代理使用公司密钥连接到服务
4. 代理将所有从客户端的调用委托给服务，反之亦然