API接口签名校验，如何安全保存appsecret？

问题就像知乎上的帖子一样 https://www.zhihu.com/question/40855191。客户端调用api进行签名验证，但是这种方式这个appsecret应该如何安全的保存？

nullcc 1楼•7 年前

JWT

im-here 2楼•7 年前

用RSA？

linkenliu 3楼•7 年前作者

@nullcc jwt解决不了这样问题，一个最简单的问题，比如说安卓端要调用服务端api。api.test.com/channels/ 这个接口客户端可直接调用(没有登录的说法) 现在为了保证api 的安全性，打算用签名认证，当创建一个开发者的时候分配相应的app_key 和appsecret 客户端通过key进行排序算法加密，但是如何保证这个key的安全性？存客户端肯定是不行了，别人拿到apk反编译一下就知道key了

linkenliu 4楼•7 年前作者

@imhered RSA一个道理，私钥如何安全的保存？

liangtongzhuo 5楼•7 年前

我给你屡屡思路： 1.客户端存私钥不安全。 2.客户端访问服务器 api 需要私钥才能访问。这样就进入死结了。

zsea 6楼•7 年前

同楼上

linkenliu 7楼•7 年前作者

@hi363138911 道理都知道，我想说的是一般这种情况都是用什么解决方案？oauth又不太适合这种情况。

dbit-xia 8楼•7 年前

这种不应该用登录+session吗？

来自酷炫的 CNodeMD