【Flutter】安全防护：10大专业级技巧

最新推荐文章于 2025-12-12 17:54:17 发布

原创最新推荐文章于 2025-12-12 17:54:17 发布 · 674 阅读

17 ·

CC 4.0 BY-SA版权

文章标签：

#flutter #安全

Flutter 专栏收录该内容

2 篇文章

订阅专栏

好的，这是按照您要求的风格翻译的中文版本：

在这篇文章里，咱们来聊聊 Flutter 开发者如何增强应用的安全性，并覆盖 OWASP 报告中提到的安全风险。

1. 保护你的代码不被反编译
尽管 Flutter 会把 Dart 代码编译成原生库，但技术高超的黑客还是有办法反编译你的代码，提取出私有密钥。要防范这一点，得遵循以下准则：

启用 Dart 代码混淆：
使用 --obfuscate 标志来保护你的代码不被反编译。你的构建命令应该是这样的：flutter build apk --obfuscate
为 Android 使用 ProGuard/R8：
添加 ProGuard 规则来压缩和混淆 Java/Kotlin 部分的代码。
在 iOS 上去除调试符号：在 Xcode 中，将 “Strip Debug Symbols During Copy” 设置为 “Yes”。

2. 安全的 API 通信

使用 HTTPS：
务必使用 https 而不是 http，因为 http 容易遭受数据包拦截，消费者的敏感信息在网络中很容易被获取。
使用 SSL 证书锁定：
确保锁定 SSL 证书以实现安全通信和 TSL 握手。以下是一个在 Flutter 中使用 dio 包实现 SSL 锁定的例子：

Future<Dio> createPinnedDio() async {
  final dio = Dio();

  // 加载你锁定的证书
  final certBytes = (await rootBundle.load('assets/cert/my_cert.pem'))
      .buffer
      .asUint8List();

  dio.httpClientAdapter = IOHttpClientAdapter(
    createHttpClient: () {
      final sc = SecurityContext(withTrustedRoots: false);
      sc.setTrustedCertificatesBytes(certBytes);

      return HttpClient(context: sc)
        ..badCertificateCallback = (X509Certificate cert, String host, int port) {
          // 可选的额外验证
          return host == "your.api.domain.com";
        };
    },
  );

  return dio;
}

3. 安全的敏感数据存储
把密钥（比如令牌）存在 Shared Preferences 里是有风险的，因为它们是明文存储的。相反，应该使用更安全的替代方案，比如 flutter_secure_storage（它会将数据存储在 iOS 钥匙串和 Android 密钥库中），或者使用 SQLCipher 加密你的本地数据库。这样，即使数据库在反编译成功后被访问，数据也是加密的，对黑客来说毫无用处。

4. 正确处理身份验证
仅仅依赖本地存储令牌是不够的；要使用更健壮的方法，比如下面这些：

实现 OAuth 2.0
添加刷新令牌机制
服务器端设置令牌过期时间，并在应用端处理
退出登录时清除所有本地存储，并在服务器端撤销令牌

5. 切勿在代码中包含密钥
避免将你的 API 密钥硬编码在 Dart 代码里，因为如果被恶意行为者（也就是黑客）访问，它们可能会被滥用。相反，应该使用更清晰、更专业的方法，例如：

尽可能将密钥保存在服务器上。
使用 .env 文件存储配置变量和敏感信息。
将第三方 API 调用从应用移到服务器——这不仅能提高应用速度，还能增强安全性。

6. 防范 UI 欺骗/点击劫持
黑客可能会在你的应用上添加恶意的 UI 覆盖层，这些覆盖层用户可能看不到，最终导致黑客获取用户凭证和其他敏感信息。考虑使用以下方法保护你的应用免受点击劫持：

Android 防护：

<application android:filterTouchesWhenObscured="true" .../>

iOS 防护：
iOS 没有提供像 filterTouchesWhenObscured 这样的 API 来允许点击劫持覆盖层，因此无需在 iOS 上采取额外的防护措施来防范点击劫持。

Flutter 防护：

SystemChrome.setEnabledSystemUIMode(SystemUiMode.manual, overlays: []);

7. 使用可靠的 Root/越狱检测包
务必检查设备是否已越狱，因为这些设备对系统文件的访问不受限制，很容易访问应用中的敏感信息。在 pub.dev 上可以找到各种用于此目的的包。以下是一个使用 root_jailbreak_detector 包的例子：

final _rootJailbreakDetectorPlugin = RootJailbreakDetector();

try {
  if (Platform.isAndroid) {
    root = await _rootJailbreakDetectorPlugin.isRooted() ?? false;
  } else if (Platform.isIOS) {
    jailbreak = await _rootJailbreakDetectorPlugin.isJailbreaked() ?? false;
  }
} on PlatformException {
  root = false;
  jailbreak = false;
}

8. 保持依赖项的安全
过时且无人维护的包可能会让你的应用面临漏洞风险。务必通过定期运行 dart pub outdated 和 dart pub upgrade 来保持你的包是最新版本，以尽可能防范漏洞。同时，确保移除任何未使用的包，并且在添加新包时，确保它有活跃的维护者。

9. 前端验证
不要只依赖后端验证；始终要在应用端添加验证，因为万一 API 出现 Bug，你的应用仍然能保证数据输入和录入的安全。

10. 安全是一个过程，而非补丁
技术在不断演进，威胁也是如此。

专业习惯：

每 6 个月审计一次你的应用。
随时关注 Flutter 安全公告。

最后的思考——为什么“专业级”安全至关重要
在 2025 年，跨平台应用对消费者来说很有价值，同时也对恶意行为者具有吸引力。Flutter 框架为开发者提供了强大的工具包，但如果没有恰当的安全措施，它可能很快就会成为负担，尤其是在数据和信息成为科技行业新黄金的今天。即使只实施上述措施的一半，也会让你的应用比市面上大多数 Flutter 应用安全得多。如果你的应用处理任何敏感信息——无论是金融、个人还是专有信息——这些步骤都不是可选的，而是必不可少的。