共计 340 个字符,预计需要花费 1 分钟才能阅读完成。
大家好,问题的背景是这样的:我们的项目已经上线了,但是竞争对手公司也在搞这方面,所以想尽可能的保护接口数据,最近做了以下尝试:
- mtls,证书双向认证。但是客户端证书一直没有找到安全的存储方式,在客户端以硬编码存储,反编译以后就是明文了,以文件存储,将 APK 解压也会获取。
- 接口加密,我使用国密算法模拟了 https 的部分过程,在客户端 / 前端生成一组非对称加密密钥,用私钥进行签名,将签名后公钥传到后端,后端验签后会将对称加密的密钥使用传过来的公钥进行加密,返回到客户端 / 前端,后续的接口使用该密钥进行对称加解密。
虽然费了很大劲做了安全措施,但各位应该看出来了,其实破解起来并没有太大的难度
所以我的疑惑是客户端 / 前端的数据安全有办法保证吗?似乎不管用什么方式,破解起来都是体力工作 …
正文完
