采用AES解密,但是问题是用于加密解密的key硬编码方式宏定义在了代码中,如何改进?不让key显示出现在代码中
代码中肯定是要的。反正iOS APP不能轻易反编译,别人也没那么容易看到
不让看到简单,你可以第一次安装的时候把key存到本地,用法到的时候取一下,这样别人就看不到了,但是还是会被找到,或者存服务器上,谁也不知道
可是我的key就是为了给网络数据传输加密解密的,如果key存到服务器上,肿么去解密服务器返回的key。。。遇到安全测试,他们的规范是不要将解密密钥在代码中hard-coded,我心都碎了
可以服务器生成动态的key,然后在客户端中动态获取key。我们是这么做的,java服务器动态生成key。
你可以让服务器和客户端定时改变KEY
现在我想去掉接口的AES加密,那么问题是,单单https请求,charles等抓包工具截取的数据是明文的,,不是说https安全吗?不应该是密文吗?