如何在Android APP中隐藏API URL和参数？

在环境变量，BuildConfig和Android Studio中隐藏URL

避免这种不良做法的一种简单方法是将值存储在环境变量中，因此只有您的机器知道它，然后以某种方式读取这些值并在构建时将它们注入代码中。让我们看看如何使用Android Studio，Gradle和BuildConfig来做到这一点。

首先，我们需要创建这些环境变量。在Linux和Mac中，创建或编辑文件〜/ .gradle / gradle.properties（注意实际的Gradle User Home目录位置）并添加一些值：

WEBServiceBaseURL="http://192.168.2.102:2323/"
WEBServiceBaseSMSURL="https://www.example.com/"

其次，在模块的build.gradle文件中，添加这些行

//Add these lines
def Base_URL = '"' + WEBServiceBaseURL + '"' ?: '"Define BASE URL"';
def SMS_Base_URL = '"' + WEBServiceBaseSMSURL + '"' ?: '"Define SMS BASE URL"';

android.buildTypes.each { type ->
    type.buildConfigField 'String', 'Base_URL', WEBServiceBaseURL
    type.buildConfigField 'String', 'SMS_Base_URL', WEBServiceBaseSMSURL
}

在Java文件中使用

BuildConfig.Base_URL它将返回URL String

  public static Retrofit getClient() {
        if (retrofit==null) {
            retrofit =new Retrofit.Builder()
                    .baseUrl(BuildConfig.Base_URL)
                    .addConverterFactory(GsonConverterFactory.create())
                    .build();
        }
        return retrofit;
    }

我发现了一个隐藏基本URL的解决方案，以保持NDK的api安全。将base64编码的字符串保存在cpp文件中，并从java类调用它并解码base64。

包括对项目的c ++（NDK）支持。您可以将其包含在新项目或旧项目中。

您的cpp文件名可以是（native-lib.cpp）

在线搜索base64编码器并对您的基本网址进行编码。现在将编码字符串保存在cpp文件中

里面的cpp文件示例代码如下：

#include <jni.h>
#include <string>

extern "C" JNIEXPORT jstring JNICALL
Java_com_touhidapps_MyProject_utils_MyConstants_baseUrlFromJNI(JNIEnv *env, jobject) {
    std::string mUrl = "aHR0cDovL2FwaS5leGFtcGxlLmNvbS8="; //"http://api.example.com/";
    return env->NewStringUTF(mUrl.c_str());
}

在MyConstants.java类中:(我保留了所有api urls。）

// load c++ library
static {
    System.loadLibrary("native-lib");
}

public static native String baseUrlFromJNI();

// decode base64 to a string and get normal url
public static String getSecureBaseUrl() {
    String mUrl = baseUrlFromJNI();
    try {
        String text = new String(Base64.decode(mUrl, Base64.DEFAULT), "UTF-8");
        return text;
    } catch (UnsupportedEncodingException e) {
        e.printStackTrace();
    }

    mUrl = "http://demo.example.com/";
    return mUrl;
}

现在您可以获得如下的原始网址：

public static final String API_BASE = "" + getSecureBaseUrl();

您的问题对于StackOverflow来说并不理想，因为主题太广泛且主要基于意见。但是，我想我可以在这里分享一些我的想法。

使用代码混淆隐藏API网址绝对是一个好主意，如果你想隐藏它们，它在某些情况下也可能有效。您也可以考虑在代码中加密API网址，并将加密的网址存储在SharedPreferences或本地存储中，每当您使用API​​网址调用网络服务时，需要再次对其进行解密。

但这些都不能确保您的API网址无法破解。如果有人真的想要获取您的API网址，他可以通过跟踪您用来呼叫网络服务的网络轻松获取这些网址。

因此，加密API网址并模糊变量名称以隐藏API网址在大多数情况下将无法正常工作。是的，我也没有看到在获取您的API网址时出现任何安全漏洞。因为，API服务器的设计应该能够阻止攻击者通过API进行的不必要的服务调用。您可能会考虑在主机中设置防火墙，或者可以设置一个基本的身份验证协议来保护您的数据。有很多方法可以防止这些安全漏洞攻击活动。您也可以考虑阅读this article，我发现这对于如何保护您的API被滥用非常有用。

希望有所帮助。