作为 iPhone 应用程序一部分保护 API 凭据的最佳实践

Question

我构建的应用程序经常有“社交媒体服务”要求；例如

1. Twitter
2. bit.ly
3. Facebook

对于大多数此类服务，我需要拥有某种 API 密钥。我正在尝试找出将这些 API 密钥包含在应用程序二进制文件中的最佳方法。所需的安全级别取决于恶意攻击者可能进行的攻击。

Twitter

• 我有一个启用 xAuth 的密钥和秘密。两者都需要由 iPhone 应用程序使用。

攻击的后果

• 恶意用户可能会伪装成来自我的应用程序发布 Twitter 状态更新。没有 Twitter 帐户可以劫持并开始发布状态更新。

bit.ly

• 我有用户名、密码和 API 密钥。
• 要登录网站并访问分析，需要用户名和密码。
• 要通过 API 创建链接，我的 iPhone 应用程序只需要用户名和 API 密钥。密码不会以任何形式存在于应用程序中。

攻击的后果

• 恶意用户可能会在我的 bit.ly 帐户上创建链接。他们需要进行单独的暴力攻击或以其他方式获取登录帐户的密码。

对于这两种服务来说，潜在的危害似乎并不太大。但对于其他服务来说，情况可能会更糟。

我可以将 API 凭据定义为标头中的字符串或代码中的内嵌字符串，但这样一来，有人在应用程序上使用字符串来查看其中的内容时，就很容易受到攻击。

然后，我可以开始在代码中进行愚蠢的串联/异或操作，以在内存中重新创建 API 密钥，而攻击者将不得不做更多的工作来恢复二进制文件中的任何密钥。我对此的担忧是，我不是密码学家，并且会在那里创建一种令人尴尬的弱混淆形式。

人们还有什么更好的建议？

Answer 1

攻击者可以嗅探您的流量并从中提取秘密。因此任何混淆都很容易被规避。

即使 SSL 也没有多大帮助，因为您可以拦截接收未加密数据的网络 API。

解决此问题的安全方法是创建您自己的服务器，在服务器端保留秘密内容，并从您的应用程序使用您自己的服务器，然后服务器中继到其他 Web 服务。这样攻击者就永远无法访问秘密。

Answer 2

一个好的建议是不要担心。有很多应用程序以纯文本形式存储 API 密钥。关键是您需要大量不同的信息来构建访问令牌。

只要您不以纯文本形式将用户名+密码组合存储在文件系统上，或者不通过不使用 SSL/HTTPS 等的网络传输它们，就可以了。