您如何在 iPhone 上为 PayPal 的电话 SDK 保护您的 PayPal 应用程序 ID？

Posted 2023-02-22

【中文标题】您如何在 iPhone 上为 PayPal 的电话 SDK 保护您的 PayPal 应用程序 ID？

【英文标题】：How do you secure your PayPalApplicationID on the iPhone for PayPal's iPhone SDK?

【发布时间】：2011-04-10 22:39:57

【问题描述】：

在使用在 iPhone 上集成了移动支付选项的 Paypal iPhone SDK 时，我意识到要使用 SDK，您需要在 SDK 模块初始化期间将 PayPalApplicationID 硬编码到您的应用程序中。

有没有办法将此 PayPalApplicationID 安全地存储在手机上？我迷路了，因为钥匙串不是一个真正的选择。钥匙串非常适合存储用户的凭据并提示他们输入凭据。但是，此 PayPalApplicationID 凭据实际上是特定于商家的，并且在应用程序的整个生命周期内将保持不变。有什么比将 PayPalApplicationID 硬编码到 SDK 的实际初始化中更好的方法？

https://www.x.com/community/ppx/xsapces/mobile/mep

【参考方案1】：

没有简单的方法可以做到这一点。您可以在代码中混淆 Web 服务密钥，但如果人们想窃取它，只要有一点耐心并使用正确的工具，他们就会找到它。

当有人窃取您的 PayPalApplicationID 时会发生什么？他们能造成伤害吗？也许问贝宝有什么风险。也许没有什么破坏性的可以用它来做。那我就懒得掩饰了。

【讨论】：

谢谢。在浏览网页多一点之后，它似乎是一个固有的漏洞，将任何秘密与客户端软件打包在一起。看起来几乎需要 OAuth 才能提供更好的保护。并更好地控制客户端软件。

【参考方案2】：

实际上，您不需要保护您的 AppID - 它确实用于识别呼叫者。它相当于 oauth 世界中的一个 consumer_id。所有付款都由接收方识别，这就是最终用户将看到的 - 而不是与 AppID 相关联的信息。