flutter - 將 Json 配置文件保存為 flutter 中的資產是否安全？

Question

我正在開發一個應用程序，我想知道存儲配置文件的最佳方式是什么。 現在，我打算使用 JSON 文件並將其保存為資產。 但是，該文件很重要，不應被他人訪問。

Answer 1

我是網絡安全方面的專家，我有一些考慮要說。 首先是你不可能完全阻止攻擊者訪問敏感信息，你所能做的就是讓它變得困難，通常需要數年才能成功，但沒有什么是 100% 安全的工程。

第二個考慮是：只有一種方法可以從托盤中向攻擊者提供數據，它可以被認為是保存敏感數據的最易受攻擊的方法：保存到資產，在 json 文件中。 你提到它似乎具有諷刺意味。

Json 是現有的人類可讀性最強的語言（並且不可能丟失這個 position，讀取帶引號的文件及其值：即使對於不編程的人也很直觀），如果它位於資產文件夾中，這將是一個編譯后完全不受保護的文件，無需反編譯apk即可提取，只需使用任何文件滾輪即可。 這實際上是在說：查看並閱讀我的文件，我求你了。

敏感數據必須存儲在 keystore 上的 android 和 Keychain 上的 iOS 上。 有一個 Flutter 插件為您抽象了這個（ https://pub.dev/packages/flutter_secure_storage ）。

作為網絡安全專家，我需要告訴你，即使是這樣存儲，你也不會是 100% 安全的，事實上，這種級別的安全性是不存在的。 但我建議至少需要做一些工作並消除 99% 想要破壞您的應用程序的人是：

將 json 轉換為字符串，並保存在加密的 FSS 中，沒有明文。 當您需要該文件時，獲取生成的字符串，對其進行解密，然后將其轉回 json。 請記住，加密密鑰也必須存儲，或者如果您要將其放入您的代碼中，請不要使用純文本，預先加密，或至少將其轉換為 base64（這不安全，它會只會使文字搜索變得困難），最后，不要使用諸如“令牌”、“安全”、“秘密”之類的詞作為密鑰，因為這些是搜索的第一個詞。 測試一些完全不尋常的東西，直到這些日子的某一天我都使用木蘭（我在這里數數是因為我改變了）。