Вопрос. Разрабатывая мобильное приложение на ReactNative и прописываю там доступы к Бэкенду - если возможность у людей скачавших его декомпилировать, извлечь данные аутентификации и воспользоваться ими вовред?
mitaichik: ок а так и не задумывался. Но спасибо буду иметь ввиду. А когда юзер вводит логин и пароль, они же получается хранятся в телефоне... их какой-то вирус может вытянуть? там данные не особо серьезные, просто сам факт аутентицикаци... но также интересно
MakarkinPRO: По хорошему вы не должны сохранять пароль\логин: вы должны провести аутентификацию на своем бекенде, который должен вернуть ключ по которому потом и проверяется аутентификация.
В любом случае (храните ли вы ключ или пароль\логин) их нужно защищать. В первых, можете хранить их в SharedPreferences c MODE_PRIVATE - это ограничит доступ к ним извне вашего приложения. Другое дело что это не поможет если устройство рутованное. Поэтом стоит их еще и зашифровать, сохраняя ключ в KeyStore (android 4.3+). Тогда будет куда сложнее взломать, но тоже реально.
Лично я в приложении запрещаю сохранять кртичные важные, если устройство рутованное. Если нет - шифрую их на сессионном AES + ключ шифрую на RSA а уже его ключ сохраняю в KeyStore. Но у меня там персональные данные - хз будлет ли оправданно такое для вашего случая.
MakarkinPRO ну например генерировать данные аутентификации алгоритмически. Можно шифрование с ключом, ключ - на сервере. Вариантов много. Но правильнее наверное шифровать передаваемые данные, а не константы. Вариантов много, гугл в помощь.
