AoEiuV020JP 最近的时间轴更新 AoEiuV020JP 最近的时间轴更新 ONLINE |
AoEiuV020JP小号降权换这小小号, V2EX 第 626874 号会员,加入于 2023-05-04 11:29:41 +08:00今日活跃度排名 224 |
| 桌面应用中的第三方 key 和 secret 是不是理论上无法杜绝被破解? 程序员 • AoEiuV020JP • 20 分钟前 • 最后回复来自 TJT | 10 |
| win10 包括开始菜单的所有任务栏窗口弹不出会是什么问题 云修电脑 • AoEiuV020JP • 6 天前 |
| 电脑内存都被谁占了
3 程序员 • AoEiuV020JP • 17 天前 • 最后回复来自 kangyue9999
|
87 |
| 刚知道 iptv 居然是无广告的 分享发现 • AoEiuV020JP • 62 天前 • 最后回复来自 AoEiuV020JP | 9 |
| 华为云的备案有毛病啊 全球工单系统 • AoEiuV020JP • 96 天前 • 最后回复来自 hudingwen1995 | 4 |
| 电脑 adb 总是自动重启导致连接断开怎么回事? Android • AoEiuV020JP • 104 天前 • 最后回复来自 AoEiuV020JP | 23 |
| 有没有能久戴不难受的耳机推荐? 耳机 • AoEiuV020JP • 94 天前 • 最后回复来自 MyronKit | 3 |
| 宽带师傅突然给根网线让我换上是几个意思? 宽带症候群 • AoEiuV020JP • 116 天前 • 最后回复来自 AoEiuV020JP | 26 |
| 有没有推荐 mac arm 上免费好用的视频剪辑软件? macOS • AoEiuV020JP • 97 天前 • 最后回复来自 deluna | 34 |
| 虚拟 7.1 声道是无中生有? 耳机 • AoEiuV020JP • 137 天前 • 最后回复来自 joeyzhou | 14 |
AoEiuV020JP 最近回复了
2 分钟前 回复了 cokar 创建的主题 › 编程 › 程序中文件夹或文件命名不加复数 s,会显得 low 吗? |
很纠结,不能多想,最难受的是一个项目里有些加了 s 有些没加,
1 小时 1 分钟前 回复了 AoEiuV020JP 创建的主题 › 程序员 › 桌面应用中的第三方 key 和 secret 是不是理论上无法杜绝被破解? |
@ysc3839 #8 可现实是真的很多把 key 放在客户端使用的,让人感觉是常规做法, 我公司桌面版就是这样,
安卓那个不是依赖外部,比如谷歌地图 key 能限制包名签名,百度地图 key 也行, 几乎所有主流第三方库都有这功能,
原理大概是相关校验混淆加密放在 so 里,大厂保证 sdk 的破解难度,光破解 app 本身得到 key 也无法使用 key ,
但桌面端就真没办法了,api 都是公开的,key 的使用也没法校验什么,只能祈祷没人偷 key ,
感觉,就挺意外的,我本以为安卓这种自签名的机制已经是安全性较低的了,结果桌面端居然默认程序是无签名的,
按理说二进制程序也是可以有数字签名的,但好像各方都没有在意这个签名,都当作不需要签名,
安卓那个不是依赖外部,比如谷歌地图 key 能限制包名签名,百度地图 key 也行, 几乎所有主流第三方库都有这功能,
原理大概是相关校验混淆加密放在 so 里,大厂保证 sdk 的破解难度,光破解 app 本身得到 key 也无法使用 key ,
但桌面端就真没办法了,api 都是公开的,key 的使用也没法校验什么,只能祈祷没人偷 key ,
感觉,就挺意外的,我本以为安卓这种自签名的机制已经是安全性较低的了,结果桌面端居然默认程序是无签名的,
按理说二进制程序也是可以有数字签名的,但好像各方都没有在意这个签名,都当作不需要签名,
3 小时 0 分钟前 回复了 AoEiuV020JP 创建的主题 › 程序员 › 桌面应用中的第三方 key 和 secret 是不是理论上无法杜绝被破解? |
@vczyh #5 确实看这情况应该只能这样了的,
但我想开发个没有服务器的纯客户端应用就很尴尬,关键是安卓可以设置密钥使用限制,做跨平台 app 各端区别对待就不大爽了,
oauth 只是个例子,还有别的比如地图什么的,就更难把 key 隐藏在服务器上了,
但我想开发个没有服务器的纯客户端应用就很尴尬,关键是安卓可以设置密钥使用限制,做跨平台 app 各端区别对待就不大爽了,
oauth 只是个例子,还有别的比如地图什么的,就更难把 key 隐藏在服务器上了,
3 小时 26 分钟前 回复了 AoEiuV020JP 创建的主题 › 程序员 › 桌面应用中的第三方 key 和 secret 是不是理论上无法杜绝被破解? |
@yekern #3 我想说的就是不管怎么获取,怎么加密,只要是在客户端调用,最终都是要按第三方要求的方式传递进去,
比如 google oauth 桌面应用一定要调接口 https://oauth2.googleapis.com/token, 接口参数就有 id 和 secret ,
前面怎么获取怎么加密都无所谓,只要抓到这个接口参数,secret 就暴露了, 暴露了再换加密都没用了,
我在想这些 secret 是不是压根就不重要,直接写死就好,
或者压根就不该在客户端调用,但现实中感觉不少见客户端直接请求第三方 api 的,给人感觉好像是个常规做法,
我本以为会像安卓一样可以有签名之类限制,结果并没有,完全不设防,
比如 google oauth 桌面应用一定要调接口 https://oauth2.googleapis.com/token, 接口参数就有 id 和 secret ,
前面怎么获取怎么加密都无所谓,只要抓到这个接口参数,secret 就暴露了, 暴露了再换加密都没用了,
我在想这些 secret 是不是压根就不重要,直接写死就好,
或者压根就不该在客户端调用,但现实中感觉不少见客户端直接请求第三方 api 的,给人感觉好像是个常规做法,
我本以为会像安卓一样可以有签名之类限制,结果并没有,完全不设防,
6 小时 24 分钟前 回复了 AoEiuV020JP 创建的主题 › 程序员 › 桌面应用中的第三方 key 和 secret 是不是理论上无法杜绝被破解? |
6 小时 25 分钟前 回复了 AoEiuV020JP 创建的主题 › 程序员 › 桌面应用中的第三方 key 和 secret 是不是理论上无法杜绝被破解? |
总觉得好些安全性建议都是脱裤子放屁,
比如这个谷歌地图安卓 api key ,谷歌建议是不要写在代码里,不要提交到 git 里,为此谷歌特地做了个插件方便从 git 忽略的 local.properties 文件读取 api key,
可问题是 api key 最终还是要填充到 manifest 里,这个拿到 apk 直接就能看到啊,能保护 key 的只有设置签名指纹限制,这 key 是否随代码公开真有区别吗?
比如这个谷歌地图安卓 api key ,谷歌建议是不要写在代码里,不要提交到 git 里,为此谷歌特地做了个插件方便从 git 忽略的 local.properties 文件读取 api key,
可问题是 api key 最终还是要填充到 manifest 里,这个拿到 apk 直接就能看到啊,能保护 key 的只有设置签名指纹限制,这 key 是否随代码公开真有区别吗?
7 小时 34 分钟前 回复了 caicaiwoshishui 创建的主题 › 深圳 › 在深圳租房多年,就没有碰到过一个蹲厕是带冲水的?这是为什么? |
我只觉得蹲厕容易拉到外面,还是备桶水用瓢舀着冲靠谱,
8 小时 36 分钟前 回复了 gsy20050126 创建的主题 › 问与答 › 外接显示器适合 windows 还是 macos? |
有点没明白状况,你是有两台自带屏幕的笔记本想选一个拓展一套外设?
1 天前 回复了 fyxtc 创建的主题 › 问与答 › 本地 APP 备案后如果服务器和域名到期不续有影响吗 |
问就是要,备案 app 才出来没多久,怎么可能有人能给你保证违规的下场,
Select Language