以微信微博oAuth认证为例,看官方提供的获取AccessToken并不需要AppSecret传入,但是使用Umeng时需要传入,为什么?
AppSecret怎么安全保存在本地?
谢谢
高洛峰2017-04-17 16:17:48
除非你的程式沒有服務端,是單純的客戶端(例如第三方微博客戶端),否則請把換取AccessToken的任务交给你的服务器,并把AppSecret放在伺服器上。在App本地保存,是沒有絕對安全的。
黄舟2017-04-17 16:17:48
OAuth流程和umeng的那個不一樣。 這完全是流程設計的問題,沒有為什麼。
保存在本地就沒有絕對的安全,這是理論上的。 指能是增加破解的成本。 一般來說用NDK寫在程式碼中,比寫在Android的java程式碼更難破解。
如果是在NDK中寫入加密後的secret。 然後把加密的金鑰在另一處程式碼中寫。 使用的時候解密再用。 程式碼反編譯破解的難度就更大一些了。
