मेरे पास एक वेब सेवा है जो कुछ भुगतान ऑपरेशन करती है, इसलिए यह बहुत महत्वपूर्ण है। निश्चित रूप से इसकी एक गुप्त कुंजी है जिसे "बिना" कहा जा सकता है।
मैं मानता हूँ कि जल्द ही या बाद में मेरी।एपीके फ़ाइल को विघटित किया जाएगा और कोड पठनीय होगा। अब, यदि मैंने किसी अन्य सेवा को कॉल करके उस कुंजी को प्राप्त करने का निर्णय लिया है, तो उस सेवा का यूआरएल मेरे कोड में संग्रहीत किया जाएगा, लेकिन मैंने कहा है कि यह सुरक्षित नहीं है और इसे छिपाया नहीं जा सकता !!
ऐसी स्थिति में सबसे अच्छा तरीका क्या है?
उत्तर:
उत्तर № 1 के लिए 1मैं सुरक्षा विशेषज्ञ नहीं हूं, लेकिन मुझे लगता है oAuth एक अच्छा विकल्प होगा। Google जैसी साइटें इसे प्रमाणित करने के लिए उपयोग करती हैं, और यह सुरक्षित है। उपयोगकर्ता को अपने क्रेडेंशियल्स का उपयोग करने में साइन इन करने की आवश्यकता होती है, और एपीआई कॉल करने के लिए एप्लिकेशन को एक ओह टोकन और रहस्य प्राप्त होता है।
उस स्थिति में, एप्लिकेशन को डिकम्पोज करने पर "हैकर की मदद नहीं करनी चाहिए, क्योंकि उसे उपयोगकर्ताओं की साख की आवश्यकता होगी।
इसके लिए सर्वर और क्लाइंट पक्ष दोनों में बदलाव की आवश्यकता होती है, लेकिन मुझे लगता है कि समस्या नहीं है, क्योंकि इस मामले में सुरक्षा अधिक महत्वपूर्ण है।