像友盟这样的移动开发平台提供appkey来标识开发者的应用,某些移动应用将其直接放到清单文件中,反编译后即可看到。那么appkey的泄漏是否会导致安全危害呢?
大多情况下不会,因为这种appkey别人即使拿来使用也只是会影响部分统计效果。而一旦涉及到类似于第三方登陆这种相对高权限的动作的话,除了appkey之外,后台还需要验证包名和签名的SHA1值,而这两个是不易伪造的。如果说某些平台不支持这两个验证的话,那只能说这个平台产品做的不到位,因为appkey的暴露是必然。要注意的是,与appkey对应的还有一个secretKey,这个key是非常重要的,要是泄露了,别人可以拿这个key对你的产品做推送之类的事情,非常可怕。但是这个key不在客户端中。
