是否可以使用应用程序分发已填充的钥匙串

Question

我正在开发一个使用私有网络服务的应用程序。 目前，我们使用捆绑的客户端证书来启用 2 路 SSL 连接，但证书的密码位于代码中，令人担心的是，该证书可能会被反编译并与（简单）提取的证书文件一起用于恶意目的。

有没有一种方法可以将密码预先加载到应用程序钥匙串中以便与应用程序一起分发，以便密码永远不会公开？

Answer 1

无论你如何将密码放入二进制文件中，都会有某种方式来利用它，无论是调试工具、代码分析等。

你最好将你的 Web 服务视为开放的......也许不太可能在就在下一个未来，但基本上你放弃了对公众的访问。

钥匙串应该使用用户特定的密钥进行加密，这显然是你做不到的——否则你无论如何都可以读取每个人的数据。

如果您确实需要保护它，您可能需要服务器上的用户帐户......如果这比模糊更安全，则由您决定。