证书固定-当流氓开发者在Android中获得证书文件时会发生什么

在使用认证钉扎开发时，表示https证书不会信任任何第三方，而是将其存储在设备上。如果我对安卓apk进行反向工程，我是否有权访问此证书？我意识到它的公开性，但我可以用它来做中间人攻击，对吗？我应该把证书放在哪里，这样就没有人可以访问它了？我在android的resources文件夹中有*.cer证书文件，但需要知道它的安全性

证书不是秘密，所以不要担心有人对您的证书进行反向工程。要锁定证书，只需将服务器的证书嵌入应用程序。然后在运行时，当服务器向您发送证书时，将其与嵌入的证书进行比较，以确保它们相同。除了所有通常的SSL/TLS验证之外，还要执行此操作。

因此，如果有人获得了我的证书，他们就不能与我的服务器通信吗？如果您的目标是让服务器只与经过身份验证和授权的客户端通信，那就不是证书固定。这就是客户端身份验证。实际上，您可以同时执行这两项操作，但我的答案与您关于证书固定的问题有关。请注意，即使使用客户端身份验证，证书也是公开的，而不是秘密的。客户使用的密钥必须保密。有关更多信息，请参阅。