web-dev-qa-db-ja.com

ユーザーは、reactネイティブモバイルアプリAPKからクライアントSSL証明書を読み取ることができますか?

反応ネイティブアプリで使用されるAPIを保護したいと思います。認証ヘッダーが送信されると、ユーザーはリクエストを読み取ってデータにアクセスできます。これを回避するには、SSLクライアント証明書を使用します。

証明書をアセットフォルダに配置すると、ユーザーはAPKから証明書を取得できますか?はいの場合、どうすればそれを回避できますか?

リクエストを保護する他の方法はありますか?

3
devedv

デバイスに保存されているデータをデバイスの所有者から現実的に隠すことはできません。デバイスのジェイルブレイクとオフライン分析の両方で、デバイスだけでなく、アプリの単純な不具合も明らかにできます。

したがって、oauth2などの確立されたセキュリティプロトコルを使用する方がよいでしょう。ユーザーが所有するデータのみをダウンロードまたは保存し、ユーザーがそれを操作することを受け入れるという原則と相まって、妥当なセキュリティを確保できます。データをユーザーから秘密にしておく必要がある場合は、サーバーに保存する必要があります。

インストール中に生成されたアプリの秘密鍵を使用した相互TLSは、サーバーに接続するデバイスが常に同じであるという合理的な期待を与えることもできます。実際には、強力なデバイスリンク。他のアプリが同じデバイス証明書を提示することはできません。ただし、所有者がその秘密鍵を読み取ることができることを期待してください。

1
Geir Emblemsvag

裾...

paquetを一部のuserに送信すると、user任意の目的でそれらを使用します。 userreadを確実に実行することはできませんpaquetのコンテンツ!

どのように使用しても、usertraceを使用してapplicaition、bx usingkernelまたはnetwork 追跡!

もっと:

userあなたが彼のpersonnalsercretyou以前に作成した...

正しい方法:

すべてのユーザーが自分の個人ペアを構築する必要があります:秘密キーおよび公開キー 、共有公開キー秘密キーに注意...

すでに多くの公開された 認証プロトコル があります。

その他のドキュメントについては、 Transport Layer SecuritySingle sign-on をご覧ください。

0
F. Hauri