Pas d'obfuscation s'il vous plaît et plus simple sera le mieux.Comment protéger la clé API dans Flex/AIR contre la décompilation?
Le poste similaire est Shared secret with API in an Ajax Adobe AIR app mais je n'étais pas convaincu que ceux-ci protègent de la décompilation. Si tel est le cas, veuillez expliquer (par exemple, ce qui empêche quelqu'un de se décompiler et d'utiliser lui-même l'URLLoader).
Si la clé publique est dans votre code, rien ne peut empêcher quelqu'un de décompiler votre application et d'obtenir la clé.
Egalement - si la clé est envoyée de l'application AIR au serveur sans chiffrement, c'est un jeu d'enfant de surveiller le trafic net et de récupérer la clé à partir de là. Donc, même si vous protégez la clé en la stockant cryptée, vous êtes plutôt foutu.
Si vous souhaitez le protéger, vous devez envoyer vos appels via un serveur proxy que vous contrôlez et y conserver la clé.
Votre 3ème idée est bonne, je pourrais voir comment cela pourrait fonctionner. Y a-t-il un moyen facile de faire ceci? Il semble qu'il devrait y avoir quelqu'un fournissant un magasin de clés de confiance pour OAuth ou quelque chose. Cela semble aussi une douleur trop puisque mon but est pour une application de bureau. – Brandon
C'est le problème des DRM: vous avez besoin de la clé localement pour faire son travail, ce qui signifie que n'importe qui avec assez de temps et de motivation peut le trouver. Au mieux, tout ce que vous pouvez faire est de l'obscurcir. – staticsan