0

为了保护和监控我们的 GCP 云功能,我们集成了 GCP api 网关。

android 应用程序必须将 SHA1 指纹、包名称和 api 密钥作为请求的一部分来进行身份验证。

这样做安全吗?

https://cloud.google.com/api-keys/docs/add-restrictions-api-keys

https://cloud.google.com/docs/authentication/api-keys#api_key_restrictions

4

1 回答 1

1

要回答这个问题,你可以问自己:是否有人可以反编译我的 APK 并从我的代码中提取 API 密钥和 sha-1?

可悲的是,是的……

因此,这足以假设您的应用程序发出请求,但您需要添加专用的身份验证机制来验证用户身份(firebase auth)

最后,一切都取决于它对什么安全

于 2021-06-10T20:41:16.167 回答