Do you want to switch to Platzi in English?
11

Seguridad en Android: mantén a salvo tus API Keys

10661Puntos

hace un año

Si tienes una aplicación y en ella seguramente estás implementado cosas como:

  • Login con Facebook, Twitter, GitHub o cualquier otra red social
  • Mapas de Google
  • Alguna API propia que complementa tu aplicación
  • Una API de otro propietario

La mayoría de las aplicaciones cuentan con estas características y seguramente has notado que en todas te pide un dato como este:

  • api_key
  • access_token
  • token
  • etc.

Se ubican con diferentes nombres pero en esencia, este dato es una cadena de caracteres alfanumérica única y personalizada, que es tu llave de acceso al servicio que estas solicitando. Si alguien llega a obtenerla puede tener acceso a tus usuarios e información valiosa que tiene que ver con tu aplicación. Por eso es muy importante que no estén accesibles para aquellos usuarios curiosos que de pronto obtienen tu apk (archivo ejecutable de la app) y con procesos de ingeniería inversa, logran decifrar y ver el código fuente de las aplicaciones.

Hoy aprenderemos a implementar una capa de seguridad que mantendrá tus Key’s a salvo 😃 Además, aprenderemos a usar Gradle en Android para mantener aislados del código fuente estos datos.

No profundizaré mucho, seré muy puntual en el proceso pero, si quieres saber más y entender más cómo funciona, puedes ir a nuestro Curso Definitivo de Android y aprenderlo todo 😄

Cómo comenzar

Normalmente tus api keys estarán almacenadas en el archivo strings.xml o en alguna clase de constantes, si las tienes ahí están vulnerables a ser descubiertas con ingeniería inversa.

gradle.properties

Este archivo lo encontrarás en la sección Gradle Scripts como se muestra en la figura:

Captura de pantalla 2017-07-18 a la(s) 23.19.23.png

Cuando lo abres por primera vez verás algo como esto:

Captura de pantalla 2017-07-18 a la(s) 23.24.52.png

Debajo de todos los comentarios, ahí definirás todas tus api keys pasaremos de esto:

Captura de pantalla 2017-07-18 a la(s) 23.30.09.png

A tenerlo de esta forma:

Captura de pantalla 2017-07-18 a la(s) 23.32.48.png

build.gradle

Ahora el siguiente archivo a editar es el build.gradle que se encuentra a nivel de módulo de la aplicación, es decir el que ves a continuación:

Captura de pantalla 2017-07-18 a la(s) 23.39.39.png

Tú sabes que en ese archivo declaramos todas las dependencias y se define todo o que se incluirá en el archivo ejecutable apk.

Debajo de la primera línea:

apply plugin:'com.android.application'

Definiremos una variable que accederá a la propiedad que dejamos definida en gradle.properties. Lo haremos de la siguiente forma:

defFACEBOOK_APP_ID = '"'+FacebookAppId+'"' ?:'"No Token Facebook"';

Lo que estamos diciendo es que a apartir del operador terneario, accedemos al valor de la propiedad si tiene un valor se almacena en la variable FACEBOOK_APP_ID en caso contrario la variable obtiene el valor “No Token Facebook”.

Ahora procederemos a inicializar el objeto type con los valores de nuestras api key’s como se muestra a continuación:

Captura de pantalla 2017-07-18 a la(s) 23.53.48.png

Si quires que la variable esté disponible como un recurso string, utiliza la instrucción:

type.resValue'string', 'FACEBOOK_APP_ID', FACEBOOK_APP_ID

Pero si quieres que este disponible para ser utilizado en el código Java, lo haremos de la siguiente forma:

type.buildConfigField'String', 'FACEBOOK_APP_ID', FACEBOOK_APP_ID

De tal forma que nuestro código quedará así:

Captura de pantalla 2017-07-19 a la(s) 00.03.58.png

Para que todo cobre vida es necesario que sincronices el proyecto:

Captura de pantalla 2017-07-18 a la(s) 23.55.52.pngCaptura de pantalla 2017-07-18 a la(s) 23.56.15.png

Para el caso partícular del api key de Facebook este se llama desde el archivo AndroidManifest.xml como un recurso string, notarás que aparece en rojo:

Captura de pantalla 2017-07-18 a la(s) 23.59.18.png

Esto es porque sigue apuntando al recurso que había antes en el strings.xml. Ahora lo accederemos a partir del nombre de la variable que está en build.gradle de la siguiente forma:

Captura de pantalla 2017-07-19 a la(s) 00.05.47.png

Si quieres acceder a la variable desde el código Java lo harás de la siguiente forma:

BuildConfig.FACEBOOK_APP_ID
Captura de pantalla 2017-07-19 a la(s) 00.11.35.png

El resultado lo podrás ver en la consola:

Captura de pantalla 2017-07-19 a la(s) 00.12.29.png

El archivo gradle.properties no se incluye en el apk, por lo tanto tus key’s ahora están a salvo 😄

Si quieres saber más te invito a nuestro Curso Definitivo de Android. Te veo ahí 💚

Ann
Ann
@anncode

10661Puntos

hace un año

Todas sus entradas
Escribe tu comentario
+ 2
Ordenar por:
1
9470Puntos

Wow excelente!.. No tenia idea de que eso se podía hacer, ahora me siento emocionado, lo probare!

1
81Puntos

Gracias Ann, excelente forma de explicar, y muy interesante el artículo. Excelente inicio de semana

1
4321Puntos

¡Muchas gracias por tu aporte!.

0
2Puntos

Si eres un desarrollador de Android, te apasiona tu profesión y te gusta estar al tanto de los nuevos desarrollos en el sector, es posible que hayas oído hablar de Kotlin.
El lenguaje creado por Jetbrains es poderoso, simple y versátil.
Se adapta perfectamente al desarrollo de Android.
Le permite evitar muchos de los obstáculos que encontrará en Java, gracias a la aplicación de nuevos conceptos como programación funcional, lambdas o clases de datos.
El uso de Kotlin se traduce en un ahorro de tiempo en su trabajo diario, en nuevas posibilidades para dar rienda suelta a su creatividad y en ayudarlo a estar a la vanguardia en el campo del desarrollo de aplicaciones.

https://antonioleiva.com/kotlin/

0
596Puntos

Me gustó mucho este artículo y lo apliqué a un proyecto que publiqué en Google Play. Sin embargo de alguna forma el APK que subí a Google Play se estaba distribuyendo en otras páginas, lo conseguí y le apliqué un decompilador (http://www.javadecompilers.com/) y cual fue mi sorpresa cuando entre los archivos que generó aparece el BuildConfig.java con todos los strings de mis API keys y URLs. No me queda claro entonces para que sirve este método si aún así mis datos quedan expuestos y me sorprende también la poca seguridad de Google Play.
Ojalá me puedan ayudar.