[Flutter] 보안에 관련하여 (API_KEY, 난독화)

민감한 정보 보안

dotEnv

.env는 git에 코드를 올려야 할 경우 민감한 정보(API_KEY)를 보호하기 위해 ignore하는 방법 중 하나이다.

• 이 방법은 보안과는 거리가 멀다.

envied라이브러리를 통해 .env파일을 따로 난독화 해야 보안적으로 안전하다.

--dart-define 설정으로 빌드 시 직접 입력

• 해당 방법은 컴파일 시 저장한 정보를 불러오는 방법이다.
• 근데 release.apk로 뽑아서 실행하면 찾을 수 없다.
  - apk에서는 해당 환경변수를 찾을 수 없기 때문

--dart-define-from-file=app-pass.json 파일에서 불러오기

• release.apk로 실행 시 못불러옴 위와 동일

EnvIed

• https://pub.dev/packages/envied
• .env를 암호화 하는 라이브러리

난독화

• proguard는 kotlin/java코드를 난독화
• obfuscate는 Dart코드를 난독화