反応ネイティブアプリで使用されるAPIを保護したいと思います。認証ヘッダーが送信されると、ユーザーはリクエストを読み取ってデータにアクセスできます。これを回避するには、SSLクライアント証明書を使用します。
証明書をアセットフォルダに配置すると、ユーザーはAPKから証明書を取得できますか?はいの場合、どうすればそれを回避できますか?
リクエストを保護する他の方法はありますか?
デバイスに保存されているデータをデバイスの所有者から現実的に隠すことはできません。デバイスのジェイルブレイクとオフライン分析の両方で、デバイスだけでなく、アプリの単純な不具合も明らかにできます。
したがって、oauth2などの確立されたセキュリティプロトコルを使用する方がよいでしょう。ユーザーが所有するデータのみをダウンロードまたは保存し、ユーザーがそれを操作することを受け入れるという原則と相まって、妥当なセキュリティを確保できます。データをユーザーから秘密にしておく必要がある場合は、サーバーに保存する必要があります。
インストール中に生成されたアプリの秘密鍵を使用した相互TLSは、サーバーに接続するデバイスが常に同じであるという合理的な期待を与えることもできます。実際には、強力なデバイスリンク。他のアプリが同じデバイス証明書を提示することはできません。ただし、所有者がその秘密鍵を読み取ることができることを期待してください。
paquetを一部のuserに送信すると、user任意の目的でそれらを使用します。 userがreadを確実に実行することはできませんpaquetのコンテンツ!
どのように使用しても、userはtraceを使用してapplicaition、bx usingkernelまたはnetwork 追跡!
userあなたが彼のpersonnalsercretyou以前に作成した...
すべてのユーザーが自分の個人ペアを構築する必要があります:秘密キーおよび公開キー 、共有公開キーと秘密キーに注意...
すでに多くの公開された 認証プロトコル があります。
その他のドキュメントについては、 Transport Layer Security 、 Single sign-on をご覧ください。