Überspringen Sie zum Hauptinhalt
Capgo-Logo
Entwicklung Mobile Updates

API Schlüssel-Sicherheit für die Einhaltung der App-Store-Richtlinien

Lernen Sie wichtige Strategien, um API-Schlüssel zu sichern, um Benutzerdaten zu schützen und die Richtlinien der App-Stores einzuhalten, einschließlich Speicherung, Transport und Verwaltung.

Martin Donadieu

Martin Donadieu

Inhaltsmarketer
API-Sicherheit für die Einhaltung der App-Store-Vorschriften

Die Sicherheit Ihrer API-Schlüssel ist von entscheidender Bedeutung, um Benutzerdaten zu schützen und die App-Store-Vorschriften einzuhalten. Die Offenlegung von Schlüsseln kann zu Datenverletzungen, Missbrauch von Diensten und Konto-Kompromittierung führen.

Hauptergebnisse:

  • Vermeiden Sie es, Schlüssel in code zu speichern: Verwenden Sie Umgebungsvariablen oder sichere Dateien.
  • Verwenden Sie Plattform-Tools: iOS-Schlüsselkasten und Android Verschlüsselte SharedPreferences.
  • Verschlüsseln Sie API Schlüssel: Fügen Sie mit AES-256-Verschlüsselung eine zusätzliche Sicherheitsebene hinzu.
  • Sicherer Transport: Verwenden Sie immer HTTPS und berücksichtigen Sie die SSL-Zertifikatspinning.
  • Überwachen und rotieren Sie Schlüssel: Rotieren Sie regelmäßig Schlüssel und verfolgen Sie die Nutzung für Anomalien.

Durch die Implementierung dieser Praktiken können Sie Ihr App schützen, den Richtlinien von Apple und Google entsprechen und Ihre Benutzer schützen.

Sichere API Schlüssel Speichermethoden

Entfernen Sie API Schlüssel aus der Quellcode Code

Die direkte Einbeziehung von API Schlüsseln in den Quellcode code kann zu einer Exposition durch Dekompilierung oder Repository-Lecks führen. Um dies zu vermeiden, sollten Sie diese Ansätze in Betracht ziehen:

  • Verwenden Sie Umgebung variablen für lokale Entwicklung.
  • Sicherheitschlüssel in sichere Konfigurationsdateien speichern die aus der Versionskontrolle ausgeschlossen sind.
  • Rely auf remote Konfigurationsdienste um Schlüssel zu verwalten.

Für iOS, überlegen Sie sich XCConfig-Dateien um Konfigurationen von Ihrem Codebase zu trennen. Auf Android können Sie Schlüssel mit gradle.properties:

# Store in ~/.gradle/gradle.properties
API_KEY=your_key_here

# Reference in build.gradle
buildConfigField "String", "API_KEY", "\"${project.API_KEY}\""

Plattform-Sicherheitstools

nutzen. Nutzen Sie plattformspezifische Tools, um die Sicherheit bei der Speicherung von API-Schlüsseln zu verbessern.

Auf iOS verwenden Sie Keychain Services für sichere Speicherung:

let query: [String: Any] = [
    kSecClass as String: kSecClassGenericPassword,
    kSecAttrAccount as String: "APIKey",
    kSecValueData as String: apiKey.data(using: .utf8)!
]
let status = SecItemAdd(query as CFDictionary, nil)

Für Android nutzen Sie EncryptedSharedPreferences für sichere Schlüsselspeicherung:

val masterKey = MasterKey.Builder(context)
    .setKeyScheme(MasterKey.KeyScheme.AES256_GCM)
    .build()

val sharedPreferences = EncryptedSharedPreferences.create(
    context,
    "secret_shared_prefs",
    masterKey,
    EncryptedSharedPreferences.PrefKeyEncryptionScheme.AES256_SIV,
    EncryptedSharedPreferences.PrefValueEncryptionScheme.AES256_GCM
)

Trennen Sie Schlüssel nach Umgebung

Verwenden Sie unterschiedliche API-Schlüssel für die Entwicklungsumgebung, die Staging-Umgebung und die Produktionsumgebung. Jede Umgebung sollte:

  • Eine einzigartige Schlüsselrotationsschranke haben.
  • Die Verwendung überwachen.
  • Sichere Zugriffssteuerungen haben.

Speichern Sie umgebungsabhängige Schlüssel in schützende CI/CD-Umgebungsvariablen anstatt Konfigurationsdateien. Dadurch bleiben Schlüssel geschützt, während automatisierte Build-Prozesse unterstützt werden. Zudem sollten sichere Transportmechanismen in Kraft sein, um Schlüssel während der Übertragung zu schützen.

Fortgeschrittene Mobil- iOS-Sicherheit – Ausführungsangriffe & API Schlüssel …

API Schlüsseltransport-Sicherheit

Die Sicherung von API Schlüsseln während der Übertragung ist entscheidend, um Benutzerdaten zu schützen und Anforderungen der App-Stores zu erfüllen. Starke Transport-Sicherheitsmaßnahmen helfen dabei, Angriffe wie man-in-the-middle und unbefugter Zugriff zu verhindern.

HTTPS-Implementierung

Um API Kommunikation zu sichern, leiten Sie HTTP-Verkehr immer auf HTTPS um. Verwenden Sie TLS 1.3 oder eine späteren Version und erhalten Sie SSL-Zertifikate von einer vertrauenswürdigen Zertifizierungsstelle.

Ein grundlegender Beispiel, wie man HTTPS in einem Node.js Express-Anwendung Um einen zusätzlichen Schutzschicht zu haben, sollten Sie Zertifikatspinning in Betracht ziehen.

const express = require('express');
const app = express();

// Redirect HTTP to HTTPS
app.use((req, res, next) => {
    if (!req.secure) {
        return res.redirect('https://' + req.headers.host + req.url);
    }
    next();
});

Zertifikatspinning

SSL-Zertifikats-Pinning

Zertifikats-Pinning stellt sicher, dass das SSL-Zertifikat des Servers einem vertrauenswürdigen Kopie entspricht, um die Verwendung von Fälschungszertifikaten zu verhindern.

Auf iOS können Sie Zertifikats-Pinning mit der Verwendung von URLSessionHier ist ein Beispiel:

class APIManager: NSObject, URLSessionDelegate {
    func urlSession(_ session: URLSession, didReceive challenge: URLAuthenticationChallenge, completionHandler: @escaping (URLSession.AuthChallengeDisposition, URLCredential?) -> Void) {
        guard let serverTrust = challenge.protectionSpace.serverTrust,
              let certificate = SecTrustGetCertificateAtIndex(serverTrust, 0) else {
            completionHandler(.cancelAuthenticationChallenge, nil)
            return
        }

        // Compare certificate with pinned certificate
        if validateCertificate(certificate) {
            completionHandler(.useCredential, URLCredential(trust: serverTrust))
        } else {
            completionHandler(.cancelAuthenticationChallenge, nil)
        }
    }
}

Zusätzlich zur Sicherung des Transports, verschlüsseln Sie API Schlüssel auf der Anwendungs-Ebene.

API Schlüssel-Verschlüsselung

Die Verschlüsselung von API Schlüsseln fügt einen weiteren Sicherheits-Schutz hinzu. Capgo, zum Beispiel, verwendet Ende-zu-Ende-Verschlüsselung für App-Updates.

“The only solution with true end-to-end encryption, others just sign updates” - Capgo [1]

To encrypt API keys, use reliable encryption algorithms. Below is an example of encrypting an API key with AES-256-GCM in Node.js:

const crypto = require('crypto');

function encryptAPIKey(apiKey, encryptionKey) {
    const iv = crypto.randomBytes(16);
    const cipher = crypto.createCipheriv('aes-256-gcm', encryptionKey, iv);

    let encrypted = cipher.update(apiKey, 'utf8', 'hex');
    encrypted += cipher.final('hex');

    return {
        encrypted: encrypted,
        iv: iv.toString('hex'),
        tag: cipher.getAuthTag().toString('hex')
    };
}

Um API Schlüssel zu verschlüsseln, verwenden Sie zuverlässige Verschlüsselungsalgorithmen. Hier ist ein Beispiel für die Verschlüsselung eines __CAPGO_KEEP_1__ Schlüssels mit AES-256-GCM in Node.js:

Die Combination von HTTPS, Zertifikats-Pinning und Verschlüsselung stellt eine starke Verteidigung für Ihre API Schlüssel sicher.

Effektives Management von API Schlüsseln bedeutet, ihre Verwendung im Auge zu behalten, sie regelmäßig zu rotieren und strikte Zugriffssteuerungen durchzusetzen. Diese Schritte helfen dabei, sensible Daten zu schützen und die Einhaltung von Anforderungen der App-Stores sicherzustellen.

Verwendung Überwachung

Die Überwachung der Verwendung von API Schlüsseln ist entscheidend, um ungewöhnliche Aktivitäten zu erkennen. Verwenden Sie Echtzeit-Analysen, um zu überwachen:

  • Anforderungsmuster und -volumina
  • Geografische Standorte des Zugriffs
  • Fehlerraten und -typen
  • Authentifizierungsfehler

Hier ist ein Beispiel in Node.js:

const apiMetrics = {
    trackRequest: (apiKey, endpoint) => {
        // Log request details
        const requestData = {
            timestamp: new Date().toISOString(),
            endpoint,
            apiKey: hashKey(apiKey),
            geoLocation: getRequestLocation(),
            responseTime: calculateResponseTime()
        };

        // Alert on suspicious patterns
        if (isAnomalous(requestData)) {
            notifySecurityTeam(requestData);
        }
    }
};

Schlüsselrotationsschema

Einmal Sie eine Hand auf die Verwendung haben, stellen Sie sicher, dass Sie Ihre Schlüssel regelmäßig rotieren. Automatisierte Rotationsschritte können Ihnen dabei helfen, die Einhaltung von Anforderungen der App-Stores sicherzustellen. Hier sind einige Rotationstrategien:

  • Notfallrotation: Schalten Sie Schlüssel sofort aus, wenn Sie einen Vorfall vermuten.
  • Geplante Rotation: Produktionschlüssel alle 3 Monate aktualisieren.
  • Entwicklungsrotation: Testumgebungen monatlich neu konfigurieren.

Um Störungen zu minimieren, verwenden Sie einen Übergangszeitraum während der Schlüsseländerung: 

const keyRotation = {
    oldKey: process.env.OLD_API_KEY,
    newKey: process.env.NEW_API_KEY,
    transitionPeriod: 7 * 24 * 60 * 60 * 1000, // 7 days
    startDate: new Date()
};

Zugriffssteuerung einrichten

Überwachung und Rotation sind nur ein Teil der Gleichung. Sie müssen auch strenge Zugriffssteuerungen durchsetzen. Zuteilen Sie Berechtigungen aufgrund der Notwendigkeit und halten Sie sich an das Grundsatz der geringsten Berechtigung: 

const accessControl = {
    validateAccess: (apiKey, requestedOperation) => {
        const keyPermissions = getKeyPermissions(apiKey);
        const environmentType = getCurrentEnvironment();

        return isOperationAllowed(keyPermissions, requestedOperation, environmentType);
    }
};

Regelmäßig überprüfen Sie, wer Zugriff hat, passen Sie die Berechtigungen an, wenn nötig, und setzen Sie automatisierte Warnungen für ungewöhnliche Aktivitäten ein. Diese Maßnahmen helfen Ihnen, eine starke Sicherheit aufrechtzuerhalten, während Sie sich an den Richtlinien der App-Stores halten.

Capgo Sicherheitsmerkmale

Capgo Live-Update-Dashboard-Interface

Capgo stärkt die Anwendungsicherheit, indem es sichere Speicherung und -Transportmethoden kombiniert mit fortschrittlichen Funktionen, die in seine Plattform integriert sind.

Capgo Sicherheitsarchitektur

Capgo’s System hat erfolgreich über 23,5 Millionen sichere Updates an 750 Produktionsanwendungen geliefert. sichere Updates an 750 Produktionsanwendungen [1]. Es verwendet End-to-End-Verschlüsselung, wodurch nur autorisierte Benutzer Updates entschlüsseln können. Hier ist ein Blick auf seine Sicherheitseinstellungen:

const capgoSecurity = {
    encryptionType: 'end-to-end',
    keyStorage: {
        separate: true,
        encrypted: true,
        environment: process.env.NODE_ENV
    },
    updateVerification: async (update) => {
        const isValid = await verifySignature(update);
        const isAuthorized = await checkUserPermissions(update.userId);
        return isValid && isAuthorized;
    }
};

Diese Architektur schützt nicht nur API-Schlüssel, sondern vereinfacht auch die Einhaltung von Anforderungen der App-Stores.

Einhaltung von Anforderungen der App-Stores

Capgo stellt sicher, dass Updates schnell und sicher geliefert werden, wobei ein globales Erfolgsrate von 82% erreicht wird, wobei 95% der aktiven Benutzer Updates innerhalb von 24 Stunden erhalten. [1]Seine Funktionen helfen dabei, potenzielle Schwachstellen zu bekämpfen:

  • Automatisierte Schlüsselrotation im Einklang mit den Richtlinien der App-Stores
  • Umgebungsanpassungen für die Bereitstellungskontrolle
  • Feinabstimmte Berechtigungen für die Updateverwaltung

CI/CD-Sicherheitsintegration

Capgo funktioniert reibungslos mit CI/CD-Plattformen, um die API-Sicherheit zu verbessern. Hier ist ein Beispiel für seine Integration:

capgo_deployment:
    environment:
        - CAPGO_API_KEY: ${SECURED_API_KEY}
        - APP_ENV: production
    security:
        - signature_verification: true
        - key_rotation: enabled
        - access_control: role_based
SicherheitsfunktionImplementierung
SchlüsselverschlüsselungEnd-to-end-Verschlüsselung während der Aufbau- und Bereitstellung
ZugriffssteuerungRollenbasierte Berechtigungen für die Auslöser der Bereitstellung
ProtokollierungUmfassende Protokolle aller Bereitstellungsvorgänge
VersionierungSichere Verfolgung von bereitgestellten Updates

“End-to-end-Verschlüsselung. Nur Ihre Benutzer können Ihre Updates entschlüsseln, niemand sonst.” [1] - Capgo

Zusammenfassung

Die Sicherung von API-Schlüsseln ist entscheidend, um Anforderungen von App-Stores zu erfüllen und Benutzerdaten zu schützen. Hier ist eine kurze Übersicht über wichtige Praktiken und was als Nächstes zu tun ist.

Sicherheitscheckliste

Die folgende Tabelle hebt wichtige Schritte zur Sicherung von API-Schlüsseln hervor, während man sich an Apple- und Google-Standards hält:

SicherheitsmaßnahmeImplementierungsanforderungenZuordnung zur Einhaltung
Sicherheit bei der SpeicherungVerwenden Sie Ende-zu-Ende-Verschlüsselung und separate UmgebungenStimmt mit den Datenschutzregeln von Apple/Google überein
Transport LayerErzwingen Sie HTTPS und verwenden Sie SSL-ZertifikatspinningSichert Daten während der Übertragung
ZugriffssteuerungWenden Sie rollenbasierte Berechtigungen und Protokollieren Sie Zugriffe an Blockiert unbefugten ZugriffSchlüsselverwaltung
Drehen Sie Schlüssel automatisch und verwenden Sie umgebungsabhängige SchlüsselHält starken, laufenden Sicherheitsstandard aufrechtErzwingen Sie HTTPS und verwenden Sie SSL-Zertifikatspinning

Referieren Sie sich an diesem Checklistenartikel als Leitfaden für die Sicherung Ihrer API-Schlüssel.

Nächste Schritte

  1. Auditieren Sie die aktuelle Implementierung

    Überprüfen Sie Ihre bestehenden Schlüssel-Speicher- und -Transportmethoden auf Schwachstellen, insbesondere im Hinblick auf Verschlüsselung und Quellcode code-Offenlegung.

  2. Implementieren Sie Sicherheitsmaßnahmen

    Wenden Sie Ende-zu-Ende-Verschlüsselung an, um Risiken zu reduzieren und die Anforderungen der App-Stores zu erfüllen.

  3. Etablieren Sie Überwachungssysteme

    Sorgen Sie für automatisierte Warnungen und führen Sie regelmäßige Audits durch, um die Sicherheit fortzusetzen.

“App Store compliant” - Capgo [1]

Keep going from API Key Security for App Store Compliance

__CAPGO_KEEP_0__ Bleiben Sie bei API-Schlüsselsicherheit für App Store-Konformität weiterhin auf dem Laufenden. um Sicherheit und Compliance zu planen, verbinden Sie es mit Verschlüsselung für die Implementierungsdetails in Verschlüsselung Kongruenz für die Implementierungsdetails in Kongruenz Capgo Sicherheits-Scanner für den Produktworkflow in Capgo Sicherheits-Scanner Capgo Sicherheit für den Produktworkflow in Capgo Sicherheit, und Capgo Vertrauenszentrum für den Produktworkflow in Capgo Vertrauenszentrum

Live-Updates für Capacitor-Anwendungen

Wenn ein Bug im Web-Schicht lebt, liefern Sie die Reparatur über Capgo anstatt Tage zu warten, bis die App-Store-Zulassung genehmigt ist. Die Benutzer erhalten die Aktualisierung im Hintergrund, während native Änderungen im normalen Überprüfungsprozess bleiben.

Los geht's

Neueste Beiträge aus unserem Blog

Capgo bietet Ihnen die besten Einblicke, die Sie benötigen, um eine wirklich professionelle mobile App zu erstellen.

Zweiwegkommunikation in Capacitor-Anwendungen
Entwicklung, Mobil, Updates
26. April 2025

Zweiwegkommunikation in Capacitor-Anwendungen

5 häufige Fehler bei OTA-Updates vermeiden
Entwicklung,Sicherheit,Updates
13. April 2025

5 häufige Fehler bei OTA-Updates vermeiden

5 Sicherheitsbest Practices für Live-Updates von mobilen Apps
Entwicklung,Mobil,Updates
14. Januar 2025

5 Sicherheitsbest Practices für Live-Updates von mobilen Apps

Alle Beiträge aus unserem Blog anzeigen