Насколько безопасно делиться SKU публично?

Так как он удобочитаем, я считаю, что мы можем публично делиться SKU (например, в глубоких ссылках).

Да, вы можете использовать их где угодно, даже если продукт доступен только тем, кто его купил, или имеет разрешение на его просмотр.

Как вы говорите, это общедоступно, поэтому не является секретом и не имеет никаких полномочий для авторизации.

Мы что-нибудь пропускаем для хакеров в этом случае или хешируем SKU?

Нет необходимости хэшировать SKU, если это общедоступная информация, которая сама по себе не может позволить хакеру получить доступ к приобретенному продукту. Хакер должен иметь доступ к токену покупки и, возможно, к другим учетным данным, чтобы иметь доступ к продукту так же, как тот, кто его купил.

Прежде чем я уйду, пожалуйста, позвольте мне для быстрого оповещения...

Это может показаться очевидным, но жетон покупки должен считаться секретным, поэтому он должен всегда храниться в безопасности, но это непростая задача.

Помните, что любые токены, которые есть у вас внутри исходного кода приложения, легко извлекаются с помощью методов обратного инжиниринга, как я отмечаю в этом сообщении в блоге:

Да, и я уже говорил, что в случае мобильных приложений их двоичные файлы могут быть подвергнуты обратному проектированию с помощью таких инструментов, как Mobile Security Framework, несмотря на некоторые методы, которые вы, возможно, использовали для защиты секретов в своем мобильном приложении во время выполнения или для их скрытия от реверс-инжиниринг из вашего двоичного файла?

Как я отмечаю в этом посте, более продвинутые пользователи могут также использовать методы обратного инжиниринга для извлечения токенов во время выполнения с помощью таких инструментов, как Mobile Security Framework. Дополнительные инструменты можно найти, выполнив поиск в Google для dynamic instrumentation tools,