Comment sécurisez-vous votre PayPalApplicationID sur l'iPhone pour le SDK iPhone de PayPal?

Question

En utilisant le SDK iPhone Paypal qui intègre une option de paiement mobile sur l'iPhone, je me rends compte que pour utiliser le SDK, vous codez votre PayPalApplicationID dans votre application lors de l'initialisation du module SDK.

Existe-t-il un moyen de stocker ce PayPalApplicationID sur le téléphone en toute sécurité? Je suis perdu car le keychain n'est pas vraiment une option. Keychain est idéal pour stocker les informations d'identification de l'utilisateur et les inviter à entrer les informations d'identification. Toutefois, ce justificatif PayPalApplicationID est en fait spécifique au marchand et sera constant pour l'application tout au long de sa durée de vie. Quel est un meilleur moyen que le codage en dur de PayPalApplicationID dans l'initialisation réelle du SDK?

https://www.x.com/community/ppx/xsapces/mobile/mep

Answer 1

Il n'y a aucun moyen simple de le faire. Vous pouvez obscurcir une clé de service Web dans votre code, mais si les gens veulent le voler, ils le trouveront avec un peu de patience et les bons outils. Que se passe-t-il lorsque quelqu'un vole votre PayPalApplicationID? Peuvent-ils faire du mal? Peut-être demander à PayPal quels sont les risques. Peut-être que rien de destructeur ne peut être fait avec. Alors je ne dérangerais pas de le cacher.

Answer 2

En fait, vous n'avez pas besoin de sécuriser votre AppID - il est vraiment utilisé pour identifier l'appelant. C'est l'équivalent d'un user_id dans le monde oauth. Tous les paiements sont identifiés par le destinataire et c'est ce que verra l'utilisateur final - pas d'informations liées à l'AppID.