Denn wenn ein schlechter Mitarbeiter es gestohlen hat, könnte er sich als Benutzer ausgeben.
Und wenn es nicht hardcoded sein sollte, wo soll es putted sein?
Ich denke, JWT-Authentifizierung zu implementieren.Sollte ein HMAC-Geheimschlüssel nicht fest codiert sein?
HMAC geheimer Schlüssel ist ein einfacher Text. Wie bei jedem privaten/geheimen Text sollten Sie es vermeiden, (Hard-Code-) Text als einfache/einfache Zeichenfolge zu speichern, da dies durch Disassemblieren aufgedeckt werden kann.
Also ja, es ist eine gute Sache, irgendwie den geheimen Schlüssel zu verschleiern, zumindest Texttransformation zu tun. Im Allgemeinen können Sie jede Art von Transformation wählen.
Einer der Ansätze besteht darin, die Codierung/Decodierung für die Transformation zu verwenden: Ihr geheimer Schlüssel wird in der Quelle als codierte Zeichenfolge gespeichert und zur Laufzeit dekodiert, wenn dies erforderlich ist. Sie können zum Beispiel XOR-Verschlüsselung von Google vorgeschlagen verwenden:
static String stringTransform(String s, int i) {
char[] chars = s.toCharArray();
for(int j = 0; j<chars.length; j++)
chars[j] = (char)(chars[j]^i);
return String.valueOf(chars);
}
Diese Funktion sollte für die Verschlüsselung und Entschlüsselung verwendet werden, „i“ ist eine beliebige Zufallswert.