API密钥放在哪里？资源，元数据，报表还是静态变量？

Question

我正在试图找出在我的Android应用程序中添加API密钥的最佳实践是什么。

-Some建议在Manifest.xml文件- link中使用meta-data。这让我觉得，在resources文件中添加密钥更好。

<meta-data android:value="key_value" android:name="api_key"></meta-data>

-Some人员说，把它添加到resources - link中

<string name="api_key">api_key_value</string">

-We可以简单地将它添加到类代码中

api.configue("api_key_value");

-Some的人说，在Manifest.xml和resources文件中添加密钥将允许其他应用程序读取它- link。

<string name="foo">bar</string">

我并不想找到最好的安全方式，因为对我来说，我会将密钥保存在服务器中，并在运行时检索它。

我在问你要遵循的最佳方法和最佳实践。

提前谢谢。

Answer 1

我没有回答这个问题，因为您似乎已经决定了如何处理API密钥(在服务器中)。

关于API键可能隐藏在Android中的一篇伟大的文章：http://www.androidauthority.com/how-to-hide-your-api-key-in-android-600583/

在您的示例中，由于您将在运行时从服务器检索密钥，所以我将遵循本文中的#4: API公钥/私钥交换，但它可能很麻烦。

此外，我将考虑NDK方法(#3来自文章)。作为一种客户端方法，它非常简单。