堆栈内存溢出
  繁体   English   中英

我已将我的 Google API 密钥限制为我的移动应用程序 package。 还能被盗吗?

[英]I have restricted my Google API key to my mobile app package. Can it still be stolen?

 原文  2020-04-21 20:09:55       android/ react-native/ google-api

问题描述

用于访问 Google 地图 API 的 Google API 密钥存储在我的 React-Native 移动应用程序清单中。 我已遵循建议并将其限制在我的应用程序的 package 和 GCP 上的 Maps API 中使用。

恶意用户可以反编译我的应用程序,提取密钥和 package 名称并仍然使用它吗?

2 个解决方案

解决方案1
 0  2020-04-21 20:19:09

如果您使用的是 Android 应用程序限制功能,那么您的 Google API 密钥是安全的,不会被盗。

API 密钥限制有两种类型:API 限制和应用程序限制。 应用程序限制将 API 密钥的使用限制为特定 web 站点、web 服务器或应用程序。 Google Maps Platform 支持四种类型的应用程序限制:

  • ...
  • Android 应用程序限制:限制使用来自具有指定 package 名称的 Android 应用程序的调用。

取自GCP 谷歌地图最佳实践

解决方案2
 0  2020-04-21 20:20:21

只要 API 密钥存在于您的代码中,应用程序的 APK 始终可以被反编译和解密以获得 API 密钥。

保证密钥不被暴露的唯一解决方案很简单——首先不要将它们放在项目中。 我通常创建一个 local.properties 文件,其中包含我的密钥库路径、我的密码和 API 键作为键值对。 然后我从我的 VCS 中排除,只需打开一个 FileStream 并读取这些键值对象。

你不能那样泄露你的 API 密钥。

暂无
暂无

声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.

相关问题 我已经使用包名和签名的 SHA1 密钥限制了我的 API 密钥,但我仍然在 Google Play 商店中收到警告 如果私钥已被盗,使用第三方API的移动应用程序将如何处理? 我已经在谷歌控制台中启用了 PLACES API 并使用 SHA 密钥注册了我的应用程序,但我仍然在启用 Places Api 时遇到错误 我是否可以为我的所有应用设置单个Google Maps API密钥而无需注册其软件包名称? 如果移动设备被盗/丢失,如何保护我的应用程序 如果我在 Google Play 上取消发布我的应用,我是否仍然需要更新我的应用以支持新的 Android 版本? 重命名程序包后,com.example.myapp.R仍引用我的R类。 我该如何解决? 我如何为 android 移动应用托管我的 API 我已经更改了我的应用程序的软件包名称,但是在Firebase上,它仍然是前一个。 请查看详细信息 我可以完全更改移动应用程序的基本代码,并且仍保留我在Google Play和Apple Store上的下载数量吗?
相关标签
 
粤ICP备18138465号  © 2020-2024 STACKOOM.COM