如何在Flutter中保护密钥文件？

前言

保护API密钥对于防止未经授权的访问和滥用你的应用及其用户至关重要。在Flutter中，你可以采用多种策略来有效保护你的API密钥。

保护API密钥的策略

1. 环境变量：使用环境变量可使你的密钥不包含在源代码中，从而降低暴露的风险。
2. 安全存储：将API密钥存储在安全存储中可确保它们不易被访问，提供了额外的安全层。
3. 后端代理：一种更安全的方法是完全避免在客户端存储密钥。相反，使用后端服务器与第三方服务进行交互。
4. 代码混淆：通过混淆Dart代码会使攻击者更难对应用进行逆向工程。
5. 使用配置文件：将密钥存储在不在版本控制中的配置文件中。这种方法不如其他方法安全，但比在源代码中硬编码密钥要好。

1. 环境变量

环境变量大致有两种方法，一种是像使用flutter_dotenv这类的文件插件，另一种是直接使用--dart-define 或者--dart-fine-from-file。

flutter_dotenv

• 步骤：

  • 安装flutter_dotenv ：将flutter_dotenv包添加到你的项目中以管理环境变量。

  dependencies:
    flutter:
      sdk: flutter
    flutter_dotenv: ^5.0.2

  • 创建.env文件：这个文件是用来存储你的API密钥和其他敏感信息。

  API_KEY=your_api_key_here

  • 加载环境变量： 在Dart代码中加载.env文件。

  import 'package:flutter_dotenv/flutter_dotenv.dart';
  
  Future<void> main() async {
    await dotenv.load(fileName: ".env"); // 首先在main函数中加载dotenv
    runApp(MyApp());
  }
  
  class MyApp extends StatelessWidget {
    @override
    Widget build(BuildContext context) {
      final apiKey = dotenv.env['API_KEY']; // 创建变量
      return MaterialApp(
        home: Scaffold(
          body: Center(child: Text('API Key: $apiKey')), // 打印并使用它
        ),
      );
    }
  }

--dart-define 或者 --dart-fine-from-file

如果变量的数量较少，可以考虑使用--dart-define，直接在运行App时直接传入就好了：

flutter run --dart-define API_URL="your url"

如果创建变量比较多，那就可以考虑创建.env或者json文件了，然后把在版本控制工具中忽略掉就好了。假如文件名字就叫.env，可以如下方式指定启动app：

flutter run --dart-define-from-file=path/to/.env

在dart中我们可以通过如下代码获取:

final class Env {
    static const String apiBaseUrl = String.fromEnvironment('API_BASE_URL');
}

2. 安全存储

将API密钥存储在安全存储中可以确保其不易被访问，从而提供额外的安全层。

• 步骤 ：

  • 安装flutter_secure_storage：将flutter_secure_storage包添加到你的项目中。

  dependencies:
    flutter:
      sdk: flutter
    flutter_secure_storage: ^5.0.2

  • 安全地存储和检索API密钥：

  import 'package:flutter_secure_storage/flutter_secure_storage.dart';
  
  final storage = FlutterSecureStorage(); // 初始化FlutterSecureStorage
  
  // 写入API密钥
  await storage.write(key: 'api_key', value: 'your_api_key_here'); // 存储它
  
  // 读取API密钥
  String? apiKey = await storage.read(key: 'api_key'); // 读取并使用它

3. 后端代理

一种更安全的方法是完全避免在客户端存储API密钥，而是使用后端服务器与第三方服务进行交互，这也是比实际工作中比较推荐的方式。

• 步骤 ：

  • 创建后端服务器：设置一个服务器来处理对第三方API的请求。
  • 通过后端发送请求：你的Flutter应用向你的后端服务器发送请求，然后后端服务器使用API密钥将请求转发到第三方API。
  • 将响应返回给应用：后端服务器处理API响应并将其发送回你的Flutter应用。

• 举个栗子 ：

  • 后端服务器代码（Node.js示例）：

  const express = require('express');
  const axios = require('axios');
  const app = express();
  const port = 3000;
  const API_KEY = 'your_api_key_here';
  
  app.get('/api/data', async (req, res) => {
    try {
      const response = await axios.get(`https://api.example.com/data?apiKey=${API_KEY}`);
      res.json(response.data);
    } catch (error) {
      res.status(500).send('Error fetching data');
    }
  });
  
  app.listen(port, () => {
    console.log(`Server running on http://localhost:${port}`);
  });

• Flutter层 ：

  import 'package:http/http.dart' as http;
  
  Future<void> fetchData() async {
    final response = await http.get(Uri.parse('http://localhost:3000/api/data'));
    if (response.statusCode == 200) {
      // 处理数据
    } else {
      // 处理错误
    }
  }

4. 代码混淆

需要注意的是使用代码混淆并不能完全保护API密钥，但它可以增加逆向工程的难度。混淆是通过将代码转换为难以理解的形式来实现的。

• 步骤 ：

  • 开启代码混淆 ：在pubspec.yaml开启用混淆。

  flutter:
    obfuscate: true
    split-debug-info: /path/to/debug - info

  • 使用混淆打包app：

  flutter build apk --obfuscate --split-debug-info=/path/to/debug-info
  flutter build ipa --obfuscate --split-debug-info=/path/to/debug-info

5. 使用配置文件

• 步骤：
• 创建配置文件：在单独的文件中定义你的API密钥。

const String apiKey = 'your_api_key_here';

• 将config.dart添加到.gitignore：

/lib/config.dart

• 导入并使用API密钥：

import 'config.dart';

class MyApp extends StatelessWidget {
  @override
  Widget build(BuildContext context) {
    return MaterialApp(
      home: Scaffold(
        body: Center(child: Text('API Key: $apiKey')),
      ),
    );
  }
}

结论

通过采用这些策略，我们可以提高Flutter应用中API密钥的安全性。但最安全的方法是使用后端代理，正如flutter_dotenv的文档中所说：

像API密钥和令牌这样的敏感密钥不应存储在Flutter应用中。即使经过混淆处理，它们仍可能被提取。目前，此库不会对变量进行混淆，因为这可能会让使用者产生错误的安全感。请在前端应用中使用环境变量来存储非敏感的配置值，例如API端点和功能标志。
原文：Sensitive keys like API keys and tokens should not be stored in your Flutter app. They can be extracted even if obfuscated. This libary currently does not obfuscate variables as it may lull the consumers into a false sense of security. Use environment variables on the frontend application for non-sensitive configuration values, such as API endpoints and feature flags.

但结合实际情况，很多时候我们可能并不具备存到后端的条件，所以其他方式也是备选方案，我们也可以结合多种方法可以提供额外的安全层。

顺便提一下，欢迎关注我的微信公众号OpenFlutter。