证书固定-当流氓开发者在Android中获得证书文件时会发生什么
在使用认证钉扎开发时,表示https证书不会信任任何第三方,而是将其存储在设备上。如果我对安卓apk进行反向工程,我是否有权访问此证书?我意识到它的公开性,但我可以用它来做中间人攻击,对吗?我应该把证书放在哪里,这样就没有人可以访问它了?我在android的resources文件夹中有*.cer证书文件,但需要知道它的安全性 证书不是秘密,所以不要担心有人对您的证书进行反向工程。要锁定证书,只需将服务器的证书嵌入应用程序。然后在运行时,当服务器向您发送证书时,将其与嵌入的证书进行比较,以确保它们相同。除了所有通常的SSL/TLS验证之外,还要执行此操作。因此,如果有人获得了我的证书,他们就不能与我的服务器通信吗?如果您的目标是让服务器只与经过身份验证和授权的客户端通信,那就不是证书固定。这就是客户端身份验证。实际上,您可以同时执行这两项操作,但我的答案与您关于证书固定的问题有关。请注意,即使使用客户端身份验证,证书也是公开的,而不是秘密的。客户使用的密钥必须保密。有关更多信息,请参阅。证书固定-当流氓开发者在Android中获得证书文件时会发生什么,android,ssl,ssl-certificate,pinning,Android,Ssl,Ssl Certificate,Pinning,在使用认证钉扎开发时,表示https证书不会信任任何第三方,而是将其存储在设备上。如果我对安卓apk进行反向工程,我是否有权访问此证书?我意识到它的公开性,但我可以用它来做中间人攻击,对吗?我应该把证书放在哪里,这样就没有人可以访问它了?我在android的resources文件夹中有*.cer证书文件,但需要知道它的安全性 证书不是秘密,所以不要担心有人对您的证书进行反向工程。要锁定证书,只需将服务器的证书嵌入应用程序。然后在运行时,当服务器向您发送证书时,将其与嵌入的证书进行比较,以确保它们