Discussion :

[Turvy]

Bonjour,

Je termine mon appli et d'après les consignes de Google, il ne faut surtout pas écrire la clé publique entière dans le code.
Mes recherches sur le net m'ont donné plusieurs solutions :
- passage par un serveur (+ sur mais compliqué à mettre en place).
- ou le plus simple, la concaténation de mini-string

La méthode XOR est préconisée par Google, mais je ne comprends pas comment traiter la clé sans la rentrer en paramètre. Pourriez vous m'éclairer ?

Vu mon appli bien spécifique, je pense que je vais me limiter à la concaténation. C'est certainement plus risqué, mais faut vraiment que le hacker n'est que ca à faire pour cracker mon appli.

[Hephaistos007]

Il est simplement conseillé de ne pas stocker littéralement la clé dans le code source.
Il se trouve que le Xor possède la propriété suivante :

"ma_clé_google" XOR "mon_secret" => "un_truc"
"un_truc" XOR "mon_secret" => "ma_clé_google"

Donc, tu peux stocker littéralement "un_truc" et "mon_secret" dans ton code. Le calcul XOR réalisé à l'exécution entre ces 2 données redonnera la clé. C'est tout.

[Carhiboux]

Je comprends pas bien.

Dans le principe, il y a donc la clé privée que seul Google (et le développeur) connaissent.

Ensuite, chaque instance de l'appli, sur chaque device de chaque utilisateur va vouloir vérifier qu'elle est légitime. Via le couple, clé publique/secret.

Je comprends donc pas en quoi c'est moins grave de mettre son secret en clair alors que les clé publiques sont justement supposées être publiques, donc diffusées, partagées, etc...