[問題] 如何透過SDK保護資料不被第三方APP取得？

作者echoing (陪我一起走。)

看板AndroidDev

標題[問題] 如何透過SDK保護資料不被第三方APP取得？

時間Fri Dec 23 09:30:01 2016

我們把自家的應用程式API打包成SDK開放給APP的開發者使用，讓開發者的APP變成我們自家服務的通路。但由於用戶的資料（如帳號密碼）會通過SDK回傳到我們的Server。這個過程中，APP開發者有可能攔截到用戶的資料。有辦法避免SDK中的資料被APP擷取嗎？放在Library中可行嗎？ -- Sent from my Android -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 117.19.67.184 ※ 文章網址: https://www.ptt.cc/bbs/AndroidDev/M.1482456604.A.FA3.html

→ KeySabre: 擷取方法太多大多是讓人擷取到也看不懂解不開 12/23 10:10

→ KeySabre: 明文一律禁止 12/23 10:10

推 aids61517: 你只能做到把資料加密後送出，至於要用什麼方式加密就 12/23 10:26

→ aids61517: 是個問題 12/23 10:27

推 mshockwave: 可以學google用permission的方式分級使用者的資料 12/23 10:42

推 fbifxxkma: AES 12/23 11:55

→ ssccg: 看要做到什麼程度，如果你要防的是開發者而不是一般使用者 12/23 13:26

→ ssccg: 最少要把library都用native code寫然後加混淆、竄改防護 12/23 13:28

→ LZN: 不要只提供api, 提供activity給開發者call, 要登入就透過你 12/23 14:40

→ LZN: 的activity. 用回傳token來當session track ? 12/23 14:41

→ y3k: 要寫到Native C++那層才算有在做防護 12/31 21:01