Какие существуют способы шифрования отправляемых данных от клиента на standalone приложениях?

Question

[dima_horror]

Существует некоторый API интерфейс, для доступа к методам которого используется уникальный ключ и токен доступа.

Если приложение вида Клиент → Сервер → API, вопросов нет. Клиент никогда не увидит ключ и токен доступа к API, т.к. они хранятся на сервере.

Вопрос про приложения вида Клиент → API (например, мобильное приложение или desktop приложение)
Какие существуют способы скрыть от пользователя ключ/токен?

Спасибо!

Answer 1

[s1dney]

Самый простой, логичный и самое главное - эффективный вариант использовать Клиент → Сервер → API с коллбеком в место Клиент → API.
Можно извращаться по разному, но в каждом случае будет страдать или безопасность этого API или быстродействие приложения.
Например, использовать одноразовые ключи на сессию, не раз такое видел. По сути это ничего не меняет, при желании можно доступ угнать все равно, но оверхед при этом дикий.

Answer 2

[Push Pull]

от пользователя? где угодно.
от разработчика? в озу, т.е. после каждой остановки приложения, т.е. сервиса, предлагать авторизацию
от хакера? читай, опытного разработчика не только дроида, нет преград, все что локально шифруется, локально же и расшифруется