Android Quickblox:阻止用户创建帐户
目前,根据quickblox的示例应用程序,帐户密钥、服务密钥和服务密钥存储在应用程序本身中 我担心的是,任何人都可以轻松地反向工程一个应用程序来获取这些秘密,并创建任意数量的假帐户来欺骗其他用户(甚至删除帐户?) 或者,即使我在服务器上生成会话令牌,用户也可以获得该令牌,并(根据我的理解)实现与上述相同的功能 我想要的是为用户提供足够的信息,以便使用服务器生成的凭据登录并发送/接收消息Android Quickblox:阻止用户创建帐户,android,ios,security,quickblox,Android,Ios,Security,Quickblox,目前,根据quickblox的示例应用程序,帐户密钥、服务密钥和服务密钥存储在应用程序本身中 我担心的是,任何人都可以轻松地反向工程一个应用程序来获取这些秘密,并创建任意数量的假帐户来欺骗其他用户(甚至删除帐户?) 或者,即使我在服务器上生成会话令牌,用户也可以获得该令牌,并(根据我的理解)实现与上述相同的功能 我想要的是为用户提供足够的信息,以便使用服务器生成的凭据登录并发送/接收消息 有没有办法做到这一点?可能类似于在服务器上创建只允许登录和聊天的会话。正确的方法是混淆您的帐户密钥、服务密钥
有没有办法做到这一点?可能类似于在服务器上创建只允许登录和聊天的会话。正确的方法是混淆您的帐户密钥、服务密钥和服务密钥值 有很多方法可以做到这一点,ProGuard也可以提供帮助
您还可以在服务器端创建一个会话令牌,并通过某种方式将该令牌传递给您的应用程序,例如,让另一个后端使用此类API,因此最终用户将从该API请求令牌,然后将其与IUT一起使用。在应用程序中存储任何敏感数据混淆只会使获取帐户机密变得更困难。关于来自服务器的会话令牌,它肯定会阻止任何人获取帐户机密,但是,令牌可以用于我们可以对帐户机密执行的所有操作。所以,这再一次让任何人都很难破坏整个应用程序。我想让我的服务器生成一个有限的权限令牌,它只能用于登录和聊天,不能创建和删除帐户。