我希望将私钥与 API 一起使用,唯一的问题是如何至少在第一次运行时保存/获取私钥,因为我可以将它放在钥匙串中
我看到的最好的方法是拥有一个 p12 文件并使用
SecPKCS12Import
我可以导入它。
但是 p12 文件需要一个密码,然后必须在应用程序中,所以我们回到原点
换句话说,是否可以在应用程序内部拥有一种证书,并且只有它自己可以使用/打开的应用程序?
大多数公司采取的方法是不在 repo 中保存密钥,而不是在应用程序中保存密钥。
大多数时候,密钥是在一些自动构建过程中注入的,我们依靠代码混淆来隐藏它免受潜在威胁。
然而,完全隐藏反编译器的密钥是不可能的。唯一的方法是不使用任何第三方库,而是依靠 BE 来促进与任何第三方的通信。