Flutter REST API 安全性

Posted 2023-02-23

【中文标题】Flutter REST API 安全性

【英文标题】：Flutter REST API Security

【发布时间】：2021-02-24 14:13:43

【问题描述】：

我在 lib 文件夹中的颤振项目中使用 REST API 密钥，所以有人有机会反编译 apk 并查看我的 API 密钥吗？是否安全？

【问题讨论】：

是的，您应该为应用的每个用户生成一个 API 密钥

感谢您的回答。用户可以反编译apk并获取rest api密钥并通过邮递员或类似的方式写入我的数据库。

即使不能，用户也可以拦截所有网络流量。当其他应用程序可以读取您的内存时，SSL 不会保护您。

您不应该将敏感数据提供给客户端。要么拥有自己的具有身份验证功能的 API 并代理第三方 API，要么如果您不能为每个用户提供他们自己的第三方 API 密钥并限制权限。

如果是移动客户端，可以将token、api_key...等敏感数据保存在keychain（ios）或keystore（android）中。要在颤振中实现这一点，请查看flutter_secure_storage

【参考方案1】：

用户可以反编译apk并获取rest api密钥并通过邮递员或类似的方式写入我的数据库吗？

如果您不共享您在调试模式下生成的 APK，那么访问您的 API 密钥并不容易。您应该始终考虑在 release mode 中构建您的 APK。你也可以obfuscate你的APK。