如何在使用 Dart Flutter 开发的应用程序中隐藏 OneSignal 密钥？

Question

我正在使用 Dart Flutter 开发一个应用程序，我将在商店中发布这个应用程序。所以成千上万的人会使用这个应用程序。

我使用 OneSignal 为此应用程序设置了一个通知系统。但是，如果该应用程序的 APK 文件以某种方式获得访问权限并被解密，那么也会找到 OneSignal 密钥。

找到钥匙可能会带来可怕的后果。

对此我可以采取什么措施？如何隐藏密钥？

Answer 1

一般来说，您不应在应用程序中使用任何敏感数据。提供给 Flutter 的大多数密钥都是 Client 密钥，这意味着它比 server 又名（秘密）的破坏性更小。

正如我检查过的 OneSignal，它们仅向 Flutter SDK 提供可以保留的 Client_ID，并且应该在后端，必须受到安全保护。

您可能有两种方法来保护您的敏感数据：

• 使用 Firebase Remote Config 等服务并提供密钥。从技术上讲，这是一种提供密钥的安全方法。
• 您和您的团队使用后端 API 构建并代理来自 Flutter 应用程序的所有请求。函数可以是无服务器函数，仅用于代理为您的应用程序保护的请求，或者您可以在您选择的后端执行此操作。

您可以阅读更多内容 这里也。