我们应该公开我们的 SHA-256 吗?

Should we keep our SHA-256 public?

提问人:Vikalp Vashisth 提问时间:6/30/2023 更新时间:6/30/2023 访问量:99

问:

在生成数字资产链接时,我们应该将包含 Android 应用程序的 SHA-256 的资产链接文件发布到 https://www.your-host.com/.well-known/assetlinks.json,如此所述。那么,公开发布我们的 SHA-256 是否安全?

只需通读文档即可

Android SHA256 chrome-custom-tabs 受信任的网络活动 数字资产链接

评论

1赞 spartygw 6/30/2023
是的,当然。

答:

0赞 andreban 6/30/2023 #1

是的,公开发布 SHA-256 是安全的。事实上,SHA-256 指纹可以从任何签名的 API 中提取,如下所示。安装后,任何其他 Android 应用程序也可以读取您的 SHA-256 密钥。Peter 的 AsseLinks 工具利用这一点来帮助人们找到他们的 SHA-256 密钥是什么。keytool -printcert -jarfile [path to APK or AAB] | grep SHA256

上一个:如何在 React Native 中显示用 java 创建的活动的模态

下一个:更改 bubblewrap 的 android 密钥库的位置