如何在Android中秘密保存令牌

我是JWT的新手，对反应并不陌生，但对如何从前端解码JWT感到非常困惑。我最初认为我可以将JWT Secret存储在. env文件中，但许多消息来源说这样做是一个非常糟糕的主意。我有后端设置，可以在您登录时向我发送JWT。但是如果不将密钥存储在前端，我将如何解码信息？ 后端： 我认为前端应该是： 我也读过很多关于后端应该进行验证的文章，但这难道不是一个巨大的安全风险，需要进行验证，然后返回不安全的

问题内容： 我在版本控制系统中保留了重要的设置，例如开发和生产服务器的主机名和端口。但是我知道，将秘密（例如私钥和数据库密码）保存在VCS存储库中是一种不好的做法。 但是密码-像其他设置一样-似乎应该进行版本控制。那么保持密码版本控制的正确方法是什么？ 我想这将涉及保持秘密，在自己的“秘密设置”文件，并有该文件的加密和版本控制。但是什么技术呢？以及如何正确执行此操作？有没有更好的方法可以完全解决这

在android Studio2中，你可以保存密钥存储密码和密钥密码，但在android Studio3中，你可以只保存密钥存储密码，每次你想构建apk时都必须写密钥存储密码。在android Studio3中有没有保存密钥存储密码的设置或方法？ 我知道我可以将密码保存在我的build.gradle文件中，但我不想将密码保存在Git上。

我将使用oAuth从谷歌获取邮件和联系人。我不想每次都要求用户登录以获取访问令牌和密码。据我所知，我需要将它们与应用程序一起存储在数据库或中。但我有点担心安全问题。我了解到，你可以加密和解密令牌，但攻击者只需反编译你的apk和类并获取加密密钥就很容易了 在Android中安全存储这些代币的最佳方法是什么？

我正在寻找一个更好的解决方案的秘密旋转和发现保险库动态秘密是一个很好的一个。通过启用秘密引擎，例如数据库，应用程序/服务可以租赁动态秘密。 我注意到每次应用程序租用数据库机密时，Vault都会在数据库中创建一个新的用户/帐户。我明白，每个应用程序/服务需要是一个好公民，并根据租赁时间使用秘密。然而，在微服务环境中，实现bug可能导致服务请求太多动态机密，从而触发在数据库中创建太多帐户。 有什么方法

我试图保护Spring BootAPIendpoint。我希望只传递api密钥和秘密作为头的一部分来调用api。我尝试了这个链接中发布的代码。但是在头中使用授权调用api时拒绝访问。使用API key和secret保护Spring Boot API我想知道我应该作为头部的一部分传递什么，这样我就可以从API获得成功的响应。我做了以下步骤：我在application.properties中添加了以下