分析保存游戏高分安全

Question

我想保存一个从安卓游戏到te parse.com后端的分数。所以我将创建一个ParseObject并在后台保存它：

ParseObject gameScore = new ParseObject("GameScore");
gameScore.put("score", 1337);
gameScore.put("playerName", "Sean Plott");
gameScore.saveInBackground();

现在有人可以反向工程我的安卓应用程序，获得解析客户端密钥和应用程序id，并为他的用户写任何他想要的高分，parse.com后端？或者Parse已经以某种方式阻止了这种情况？

Thx

Answer 1

是的，你需要额外的安全措施，这些API密钥可能会被窃取。

混淆是防止别人对你的代码进行反向工程的第一步。然而，像API key这样的东西通常被存储为String，因此它们不会被混淆。没有真正完美的解决方案。无论你做什么，都会有人致力于窃取它。然而，有一些方法会使这个过程更加困难。

一些例子：

• use NDK
• use png data in png file
• 设置您的应用程序将不使用API密钥的请求发送到代理服务器以接收请求，将API密钥附加到请求的末尾，发送请求，然后接收请求的响应并将其返回到您的NDK文件保持您的公钥安全，防止恶意用户和黑客攻击，不要将其作为文字字符串嵌入到任何代码中。相反，可以在运行时从片段构造字符串，或者使用位操作(例如，对其他字符串执行XOR操作)来隐藏实际的键。密钥本身不是秘密信息，但是您不想让黑客或恶意用户轻易地将公钥替换为另一个密钥。http://developer.android.com/google/play/billing/billing_best_practices.html

有关该主题的更多信息，请访问：

http://www.androidauthority.com/how-to-hide-your-api-key-in-android-600583/ http://www.informit.com/articles/article.aspx?p=2268753&seqNum=4

与相关的SO问题：

Best Practice for storing private API keys in Android

How to store a secret API key in an application's binary?