React本机敏感数据

Question

我们正在使用React-Native构建一个移动应用程序，并且需要在移动应用程序本身中嵌入一些敏感数据，如客户端密钥/密码。

在安全性方面的标准实践是什么(最难进行反向工程)？数据应该是原生代码级别的常量、资源文件还是react原生javascript文件？

Answer 1

您可以使用像react-native-keychain这样的库，它使用iOS和安卓上的原生密钥链库。

Answer 2

老问题，但实际上，答案是显而易见的，我对你得到的其他答案感到非常惊讶。

...need将客户端密钥/密码等敏感数据嵌入到移动应用程序本身中。

不是的。您不需要这样做。这在很多层面上都是糟糕的设计，不仅仅是安全方面的，因为你正在泄露你的秘密。当您的客户端机密泄露时会发生什么情况，您需要快速替换它。您是否要呼叫所有用户并要求他们进行升级？

如果您需要调用第三方服务，那么实际上您需要创建一个代理服务，该服务根据用户的凭据对用户进行身份验证，然后使用您拥有的任何客户端身份验证来获取信息。

这与任何其他客户端->服务器体系结构没有什么不同。您可以假定客户端上的任何内容都是反向工程的。这甚至不是很难做到的。