我使用了 mtls 证书双向认证,想在 RN 中存一份客户端证书, 如果用硬编码,只要反编译了就很容易查出来,存文件,解压 apk 也会获得,有什么安全的方式嘛?
1
AoEiuV020JP 187 天前
考虑反编译就没什么办法了吧,
首先你想防止客户端证书泄露这点不太对劲, |
2
iOCZS 187 天前
除了加密还能有啥办法呢。。。
|
3
luckykelan OP @AoEiuV020JP 因为想避免接口数据泄露,客户端证书泄露了就可以随意调用接口了啊
|
4
FengMubai 187 天前
@luckykelan 你在客户端运行时生成一个对称密钥, 把密钥用服务端公钥加密发过去, 然后接口数据都用对称加密 (不如直接用 https
|
5
AoEiuV020JP 187 天前
@luckykelan #3 考虑反编译的话就没有任何办法阻止别人调接口了, 客户端什么逻辑别人只要一模一样的抄一遍就一定能调通,
接口数据安全应该在服务器端做, 不该给的不要给, |
6
bsg1992 187 天前 1
都是客户端了 不就相当于光着身子 站在别人面前嘛。
你传太多的衣服别人 也能照样给你扒光。 |
7
w88975 187 天前
我当时做的一个 RN 项目,接口加密,是用 rust 写了个 wasm 的加密模块,数据由 wasm 加密后,传给 js ,这样反编译成本就高得多。得先反编译 apk 或者 ipa ,然后反编译 js 文件,最后找到 wasm 模块文件,再去反编译 wasm 。
|
8
crazyu 187 天前
想知道 v 友有关于 RN iOS 集成微信登陆、支付、分享小程序以及集成录音的经历吗? 如果有的话,是否有对应的文章可以参考,目前这个卡了好久,都没有运行成功,唉,
|
10
xiaoshan5733 186 天前
|
11
darkce 186 天前
|
12
LuckyLauncher 186 天前
@w88975 #7 脚本小子只需要找到 wasm 文件和调用 wasm 函数的入参和出参就行了
|
13
chniccs 186 天前
当年我是用 c 语言写的加密模块,打包成 so 包让 app 调用 native 方法,这样反编译成本比较高。
|