特定のサーバー API は、許可されていないすべてのユーザーがパブリックにアクセスできるようにする必要がありますが、リクエストは 1 つの特定のアプリからのみ発信できるようにする必要があります。
理論的には、これはアプリを用意しHMAC-sign all API requests
、サーバーに正しく発行して保存させることで実現する必要がありますnonces
(リプレイ攻撃を回避するため)。
質問::
ハッカーやクラッカーがキーを取得することを、不可能ではないにしても非常に困難にする方法で、モバイル アプリがシークレットをスライス、ダイス、チョップ、および XOR する既知の方法はありますか?