Quiero asegurar una API utilizada por una aplicación nativa de reacción. Si se envía un encabezado de autorización, el usuario puede leer la solicitud y acceder a los datos. Para evitar esto quiero usar certificados de cliente SSL.
Ahora, si coloco el certificado en la carpeta de activos, ¿será posible que el usuario lo obtenga de la APK? En caso afirmativo, ¿cómo puede evitarse?
¿Hay alguna otra manera de asegurar la solicitud?
El propietario del dispositivo no puede ocultar de manera realista los datos almacenados en el dispositivo. Tanto el análisis de jailbreaking como el análisis fuera de línea de un dispositivo pueden revelarlo, así como también simples errores en su aplicación.
Por lo tanto, es mejor que utilice un protocolo de seguridad establecido, como auth2. Junto con el principio de solo descargar o almacenar los datos que posee el usuario y aceptar que los manipulan, usted tiene una seguridad razonable. Si los datos deben mantenerse en secreto para el usuario, deben almacenarse en el servidor.
La TLS mutua con la clave privada de la aplicación generada durante la instalación, también puede brindarle una expectativa razonable de que el dispositivo que se conecta a su servidor es siempre el mismo. En la práctica, un dispositivo fuerte de enlace. Ninguna otra aplicación podrá presentar el mismo certificado de dispositivo. Pero espere que el propietario pueda leer su clave privada.
Si envía un paquet a algún usuario , para permitir que usuario los use, para cualquier propósito. No podrá asegurarse de que usuario no lea el contenido de paquet !
De cualquier forma que use, usuario podrá rastrear su aplicación , bx utilizando kernel o < em> network tracking!
Nada usuario asegura que usted no usará su personal sercret usted hecho anteriormente ...
Cada usuario debe crear su par personal: clave privada y clave pública , compartir clave pública y preocuparse por clave privada ...
Ya hay muchos protocolos de autenticación publicados.
Para obtener más documentación, puede consultar Seguridad de la capa de transporte , Inicio de sesión único
Lea otras preguntas en las etiquetas authentication tls mobile client