Android 静态字符串安全存储方案

最近比较关注安全问题，项目中确实存储了一些第三方的key和id之类的参数，都是已静态字符串的方式存储在java中，感觉不太安全，dex反编译就会被他人知道，于是这几天一直在找有关这方面的资料，以下是在网上看到的几种安全存储方案

1、拆分存储法

将字符串拆成几个部分分别存储在不同的地方，组合后即可用
- 如 将字符串拆成数个部分，分别存储在java代码中、String.xml、Gradle中
- 反编译需要反编译 dex获取java代码，通过R.class和反编译资源文件获取String.xml内容，通过BuildConfig.class 对照获取Gradle存储的文件

AppId的拆分，我这里只是简单拆分一下，可以在拆分的字符中加点盐，或加密算法，以增加算法的复杂度，加大反编译难度

//appId = 45fdf245fds2af1d5sfs2d1;public static String appIdPar1 = "45fdf245";

<string name="appIdPar2">fds2af1d</string>

buildConfigField "String", "appIdPar3", "\"5sfs2d1\""

获取appId

public void getAppId(){    return new StringBuffer().append(appIdPar1).append(getString(R.string.appIdpar2)).append(BuildConfig.appIdPar3)}

详细资料：http://blog.csdn.net/qq_23547831/article/details/51953926

方案特点：加密逻辑简单，但需要对每个字符串进行拆解，工作效率不高，逆向获取工作量加大一些，难度不大

2、字符串加密法

使用StringFog对Dex字符串进行加密，使得别人无法直接看到你的明文，加上java的混淆机制，加大了寻找关键字符和反编译的难度
StringFog是一个开源的对Dex字符串加密的库，地址：https://github.com/MegatronKing/StringFog

StringFog插件对Dex字符串加密原理解析

方案特点：对java中所有字符串加密，配上java的混淆，反编译查找需要的字符比较困难，但是加密算法在java代码中及秘钥是明文，弄清其加密方案依旧可以将密文一一解码

3、so文件存储方案

1.将字符串进行分段加密写入cpp文件中（这里加密是防止一些逆向者使用IDA破解后直接获得明文）

2.编写获取该字符串的jni方法,最好在jni方法中加上Apk签名验证防止他人直接使用so文件获取字符串

3.在so文件中添加无关代码，增加静态解析难度

4.在java中调jni方法获取字符串

类似方案 Android 密钥保护

方案特点：需要会jni编程，安全系数相对较高