AI 助理
备案控制台
开发者社区 开发与运维 文章 正文

在 Android 中如何优雅地配置私密信息

2017-08-24 999
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
简介: 在实际的项目开发中,经常会用到一些第三方的 SDK ,而使用这些 SDK 基本上都是需要配置 APPKEY 或 APPSECRET 等信息。此外 APP 打包时需要 KEYSTORE , STOREPASSWORD的信息。

在实际的项目开发中,经常会用到一些第三方的 SDK ,而使用这些 SDK 基本上都是需要配置 APPKEYAPPSECRET 等信息。此外 APP 打包时需要 KEYSTORE , STOREPASSWORD的信息。这些都是私密配置信息,不应该发布到 Github 或其它公共空间。

一般来说有以下几种方式

  1. 写在 string 资源文件中

  2. 配置在 BuildConfig 类中

  3. 使用 Android 密钥库系统

  4. 使用 NDK 加密

  5. 保存在服务端,通过接口获取

直接硬编码肯定不是最好的方式,只要代码上传就会分享到各个地方。最好的方式是当然是保存在服务端,在需要的时候进行获取。

使用 Gradle 配置文件

首先介绍一种简单方式在 gradle 种配置 string 资源和常量的方式。而不是直接在 string 文件中硬编码。

gradle.properties

首先在 Project 的目录下创建一个 gradle.properties 文件。例如配置

# Project-wide Gradle settings.


...


# org.gradle.parallel=true


KEY_STORE=../xxxx.keystore


KEY_ALIATS=这里是别名


KEY_PASSWORD=这里是keypassword的密码


STORE_PASSWORD=这里是store的密码


APP_KEY=第三方sdk app key


APP_SECRET=第三方sdk app secret


APP_USER=wecodexyz@gmai.com

 

这个文件信息定义打包 keystore 密码和 App Key 等信息。

build.gradle

在 app 目录下的 build.gradle 文件中对 keystore 和 APP_KEY 等信息进行了配置。

android {


   compileSdkVersion 25


   buildToolsVersion "25.0.2"


   signingConfigs {


       config {


           storeFile file(KEY_STORE)


           keyAlias KEY_ALIATS


           keyPassword KEY_PASSWORD


           storePassword KEY_PASSWORD


       }


       debug {


           storeFile file(KEY_STORE)


           keyAlias KEY_ALIATS


           keyPassword KEY_PASSWORD


           storePassword KEY_PASSWORD


       }


   }


   defaultConfig {


   }


   release {


           //这里配置String常量,可以用BuildConfig类引用


           buildConfigField "String", "APP_USER", "\"${APP_USER}\""


           //这里配置string资源,使用@string可以在manifest等文件中引用


           resValue "string", "app_key", "${APP_KEY}"


           resValue "string", "app_secret", "${APP_SECRET}"


       }


       debug {


           //这里配置String常量,可以用BuildConfig类引用


           buildConfigField "String", "APP_USER", "\"${APP_USER}\""


           //这里配置string资源,使用@string可以在manifest等文件中引用


           resValue "string", "app_key", "${APP_KEY}"


           resValue "string", "app_secret", "${APP_SECRET}"


       }


}

 

最后最关键的一点是

要在 .gitignore 文件中忽略 gradle.properties 文件

要在 .gitignore 文件中忽略 gradle.properties 文件

要在 .gitignore 文件中忽略 gradle.properties 文件

使用 gradle 方式安全性是最弱的。

使用 Android 密钥库系统

Android 密钥库系统可以保护密钥材料免遭未经授权的使用。首先,Android 密钥库可以防止从应用进程和 Android 设备中整体提取密钥材料,从而避免了在 Android 设备之外以未经授权的方式使用密钥材料。其次,Android 密钥库可以让应用指定密钥的授权使用方式,并在应用进程之外强制实施这些限制,从而避免了在 Android 设备上以未经授权的方式使用密钥材料。

这个是 Google 自家提供的 API, 但它只在 Android 4.3 以后的系统中才引用,故此方案有一定的限制。

使用 NDK 加密

可以将加密算法封装在 NDK 中,在一定程度上增加了破解的难度。而且可以不受 API Level 的限制。

保存在服务端,通过接口获取

对于一些安全性要求比较高的 APP 来说,是推荐使用这种方式的。同时接口要使用 Https 协议

那么当通过接口获取到私密信息如何保存呢?这时候可以使用 NDK 或者 Android 密钥库系统。

参考文献

https://guides.codepath.com/android/Storing-Secret-Keys-in-Android

https://developer.android.com/training/articles/keystore.html

微信关注我们,可以获取更多

 

文章标签:
Android开发
数据安全/隐私保护
开发工具
关键词:
Android配置
Android信息
Android配置信息
hylinux1024
目录
相关文章
阿迷创客
|
29天前
|
Android开发
Android 配置蓝牙遥控器键值
本文详细介绍了Android系统中配置蓝牙遥控器键值的步骤,包括查看设备号、配置键位映射文件(kl文件)、部署kl文件以及调试过程,确保蓝牙遥控器的按键能正确映射到Android系统对应的按键功能。
阿迷创客
41 1
阿迷创客
|
30天前
|
搜索推荐 Android开发
学习AOSP安卓系统源代码,需要什么样的电脑?不同配置的电脑,其编译时间有多大差距?
本文分享了不同价位电脑配置对于编译AOSP安卓系统源代码的影响,提供了从6000元到更高价位的电脑配置实例,并比较了它们的编译时间,以供学习AOSP源代码时电脑配置选择的参考。
阿迷创客
59 0
学习AOSP安卓系统源代码,需要什么样的电脑?不同配置的电脑,其编译时间有多大差距?
阿迷创客
|
30天前
|
Ubuntu Android开发
安卓系统调试与优化:(一)bootchart 的配置和使用
本文介绍了如何在安卓系统中配置和使用bootchart工具来分析系统启动时间,包括安装工具、设备端启用bootchart、PC端解析数据及分析结果的详细步骤。
阿迷创客
71 0
安卓系统调试与优化:(一)bootchart 的配置和使用
旺仔大牛
|
1月前
|
XML 安全 Android开发
Flutter配置Android和IOS允许http访问
Flutter配置Android和IOS允许http访问
旺仔大牛
49 3
土木林森
|
1月前
|
XML Android开发 UED
"掌握安卓开发新境界:深度解析AndroidManifest.xml中的Intent-filter配置,让你的App轻松响应scheme_url,开启无限交互可能!"
【8月更文挑战第2天】在安卓开发中,scheme_url 通过在`AndroidManifest.xml`中配置`Intent-filter`,使应用能响应特定URL启动或执行操作。基本配置下,应用可通过定义特定URL模式的`Intent-filter`响应相应链接。
土木林森
85 12
游客jjw5lou74ja6k
|
1月前
|
移动开发 JavaScript 开发工具
Mac 10.9x下安装配置phonegap3.0开发环境 (涉及android sdk配置)
Mac 10.9x下安装配置phonegap3.0开发环境 (涉及android sdk配置)
游客jjw5lou74ja6k
46 1
蓝色流星1000
|
1月前
|
Shell Android开发
安卓scheme_url调端:在AndroidManifest.xml 中如何配置 Intent-filter?
为了使Android应用响应vivo和oppo浏览器的Deep Link或自定义scheme调用,需在`AndroidManifest.xml`中配置`intent-filter`。定义启动的Activity及其支持的scheme和host,并确保Activity可由外部应用启动。示例展示了如何配置HTTP/HTTPS及自定义scheme,以及如何通过浏览器和adb命令进行测试,确保配置正确无误。
蓝色流星1000
71 1
不吃核桃
|
1月前
|
监控 安全 API
Android项目架构设计问题之保证线上用户不会进入到本地配置页面如何解决
Android项目架构设计问题之保证线上用户不会进入到本地配置页面如何解决
不吃核桃
22 0
不吃核桃
|
1月前
|
JSON Android开发 数据格式
Android项目架构设计问题之在远端动态配置中添加相应配置如何解决
Android项目架构设计问题之在远端动态配置中添加相应配置如何解决
不吃核桃
23 0
游客jjw5lou74ja6k
|
1月前
|
移动开发 JavaScript Java
windows7下安装配置phonegap3.0 (cordavo)开发环境 (涉及android sdk配置)
windows7下安装配置phonegap3.0 (cordavo)开发环境 (涉及android sdk配置)
游客jjw5lou74ja6k
28 0

热门文章

最新文章

  • 1
    Android关于Bitmap的缩放方法
  • 2
    【Android 返回堆栈管理】打印 Android 中当前运行的 Activity 任务栈信息 | Activity 任务栈信息分析 | Activity 在相同 Stack 中的不同 Task(一)
  • 3
    Android循环ViewPager(二)
  • 4
    在Android中运用RxJava
  • 5
    Android通过tcpdump抓包
  • 6
    通过JMX监控Spring Boot应用
  • 7
    Android 三星手机不能调起应用市场
  • 8
    Android 数据库存取图片
  • 9
    Android | 通过WindowInsetsController设置系统栏颜色、Behavior、显示隐藏等
  • 10
    Android:关于声明文件中android:process属性说明
  • 1
    构建高效Android应用:探究Kotlin与Java的性能差异
    43
  • 2
    应用研发平台EMAS常见问题之安卓push的离线转通知目前无法收到如何解决
    50
  • 3
    构建高效Android应用:Kotlin协程的实践指南
    46
  • 4
    构建高效Android应用:Kotlin与协程的完美融合
    63
  • 5
    构建高效Android应用:探究Kotlin与Java的性能差异
    77
  • 6
    【Android平板编程】远程Ubuntu服务器code-server编程写代码
    128
  • 7
    构建高效Android应用:探究Kotlin与Java的性能差异
    79
  • 8
    android 使用GSON 序列化对象出现字段被优化问题解决方案
    94
  • 9
    构建高效Android应用:探究Kotlin与Java的性能差异
    59
  • 10
    构建高效安卓应用:探究Kotlin与Java的性能对比
    382

    • 相关课程

    更多
  • 开源Android容器化框架Atlas开发者指南

    • 相关电子书

    更多
  • 58同城Android客户端Walle框架演进与实践之路
  • Android组件化实现
  • 蚂蚁聚宝Android秒级编译——Freeline
    • 下一篇
    DataWorks售前咨询