我开发了一个小的Dropbox应用程序,但我不知道如何隐藏应用程序密钥和应用程序密钥。在我解决这个问题之前,我不确定如何运送我的应用程序,因为这似乎是一个重要的安全威胁。
我知道很难混淆代码,尤其是Python,所以我不确定这是一个选项..但我还能做些什么呢?我想过使用某种形式的加密和/或将它们存储在服务器上以便在应用程序启动时检索。是否有可能用另一种语言编写处理密钥的部分,这些部分更容易像C一样混淆?由于我对加密知之甚少,我不确定这些选项是否可行。
答案 0 :(得分:1)
为了防止随意滥用您的应用程序密码(比如复制/粘贴代码的人没有意识到他们应该创建自己的应用程序密钥/密钥对),可能值得做一点混淆,但正如您指出的那样,这不会阻止一个坚定的个人获得应用秘密。
在客户端应用程序(如移动应用程序或桌面应用程序)中,您无法做任何事情来确保您的OAuth应用程序保密。也就是说,共识似乎是这并不重要。实际上,在OAuth 2中,客户端应用程序的推荐流程是“令牌”或“隐式”流程,根本不使用应用程序密钥。