/go/however

这时候就要歌颂国内那些开个 USB 调试都要登陆账号客服审核的 UIOS 们了

关停公有云业务的正常操作，你可以问他们要公安部文件原件

用 InnoDB 要开 swap

@wyds591101 #12 ionCube Encoder 买断才几百刀，不是更值……

用第三方的加密库

ionCube Encoder

另外在现在 API 的设计哲学中，即使用了非原始客户端，只要保障拿到敏感数据的人是最终用户本人，就认为接口是安全的。

对于银行等敏感应用，会加大量逻辑去提高 修改原始客户端 /开发第三方客户端 的难度，引入大量校验，同时对 App 版本、API 版本进行严格的管理，一旦发现某个版本 App/API 被破解，立刻在服务器端吊销访问权限。

保障不了绝对的安全，即使编译到 binary 也能抓出来，所以只能从两方面入手：

1、在业务逻辑设计上，尽量降低泄露可能带来的风险，最终目的是能保障 session 不泄漏的前提下只有用户本人能访问敏感数据；
2、混淆等技术手段提升破解难度；
3、反爬虫措施降低 key 泄露之后滥用的风险。

另外最近国外有个 Approv.io 做“ Application Authentication ”，功能是“保障访问 API 的应用是官方应用”，具体逻辑没看，但是原理上应该是签名核验和冲击认证。

支持 railgun 就更好了