¿Es seguro codificar mi clave secreta en mi aplicación iOS?

3

La configuración del SDK de iOS en la nube sugiere codificar tu api_secret en el código fuente de la aplicación de iOS.

¿No es eso una vulnerabilidad de seguridad, ya que los literales de cadena se pueden extraer del binario de la aplicación, por ejemplo, mediante el comando strings ?

Ni el SDK de Facebook para iOS ni el AWS Mobile SDK para iOS le solicita que ingrese el secreto de su API en el código fuente de su aplicación iOS. Para autenticar las solicitudes de los clientes, el SDK de Facebook para iOS parece usar algún tipo de algoritmo de firma y el SDK móvil de AWS para iOS usa URL firmadas previamente & Identidad de Cognito de Amazon .

    
pregunta ma11hew28 18.06.2015 - 06:06
fuente

1 respuesta

2

El API-SECRET como su nombre lo indica es secreto y, por lo tanto, nunca debe revelarse en el lado del cliente (ni en las aplicaciones móviles).

Esta credencial se usa para generar firmas que luego se pueden usar para publicar, eliminar, sobrescribir y editar su contenido.

Debería almacenarlo en el lado del servidor y pasar solo la firma generada, o usar métodos sin firmar en el lado del cliente que no requieran firmas.

    
respondido por el Nadav Ofir 18.06.2015 - 11:35
fuente

Lea otras preguntas en las etiquetas