Si tienes una aplicación y en ella seguramente estás implementado cosas como:
- Login con Facebook, Twitter, GitHub o cualquier otra red social
- Mapas de Google
- Alguna API propia que complementa tu aplicación
- Una API de otro propietario
La mayoría de las aplicaciones cuentan con estas características y seguramente has notado que en todas te pide un dato como este:
- api_key
- access_token
- token
- etc.
Se ubican con diferentes nombres pero en esencia, este dato es una cadena de caracteres alfanumérica única y personalizada, que es tu llave de acceso al servicio que estas solicitando. Si alguien llega a obtenerla puede tener acceso a tus usuarios e información valiosa que tiene que ver con tu aplicación. Por eso es muy importante que no estén accesibles para aquellos usuarios curiosos que de pronto obtienen tu apk (archivo ejecutable de la app) y con procesos de ingeniería inversa, logran decifrar y ver el código fuente de las aplicaciones.
Hoy aprenderemos a implementar una capa de seguridad que mantendrá tus Key’s a salvo 😃 Además, aprenderemos a usar Gradle en Android para mantener aislados del código fuente estos datos.
No profundizaré mucho, seré muy puntual en el proceso pero, si quieres saber más y entender más cómo funciona, puedes ir a nuestro Curso Definitivo de Android y aprenderlo todo 😄
Cómo comenzar
Normalmente tus api keys estarán almacenadas en el archivo strings.xml o en alguna clase de constantes, si las tienes ahí están vulnerables a ser descubiertas con ingeniería inversa.
gradle.properties
Este archivo lo encontrarás en la sección Gradle Scripts como se muestra en la figura:

Cuando lo abres por primera vez verás algo como esto:

Debajo de todos los comentarios, ahí definirás todas tus api keys pasaremos de esto:

A tenerlo de esta forma:

build.gradle
Ahora el siguiente archivo a editar es el build.gradle que se encuentra a nivel de módulo de la aplicación, es decir el que ves a continuación:

Tú sabes que en ese archivo declaramos todas las dependencias y se define todo o que se incluirá en el archivo ejecutable apk.
Debajo de la primera línea:
apply plugin: 'com.android.application'
Definiremos una variable que accederá a la propiedad que dejamos definida en gradle.properties. Lo haremos de la siguiente forma:
def FACEBOOK_APP_ID = '"'+FacebookAppId+'"' ?: '"No Token Facebook"';
Lo que estamos diciendo es que a apartir del operador terneario, accedemos al valor de la propiedad si tiene un valor se almacena en la variable FACEBOOK_APP_ID en caso contrario la variable obtiene el valor “No Token Facebook”.
Ahora procederemos a inicializar el objeto type con los valores de nuestras api key’s como se muestra a continuación:

Si quires que la variable esté disponible como un recurso string, utiliza la instrucción:
type.resValue 'string', 'FACEBOOK_APP_ID', FACEBOOK_APP_ID
Pero si quieres que este disponible para ser utilizado en el código Java, lo haremos de la siguiente forma:
type.buildConfigField 'String', 'FACEBOOK_APP_ID', FACEBOOK_APP_ID
De tal forma que nuestro código quedará así:

Para que todo cobre vida es necesario que sincronices el proyecto:
Para el caso partícular del api key de Facebook este se llama desde el archivo AndroidManifest.xml como un recurso string, notarás que aparece en rojo:

Esto es porque sigue apuntando al recurso que había antes en el strings.xml. Ahora lo accederemos a partir del nombre de la variable que está en build.gradle de la siguiente forma:

Si quieres acceder a la variable desde el código Java lo harás de la siguiente forma:
BuildConfig.FACEBOOK_APP_ID

El resultado lo podrás ver en la consola:

El archivo gradle.properties no se incluye en el apk, por lo tanto tus key’s ahora están a salvo 😄
Si quieres saber más te invito a nuestro Curso Definitivo de Android. Te veo ahí 💚