Я хотел бы иметь безопасную связь между моим приложением для Android/iOS и моей серверной службой, доступной через Интернет, поэтому я изучаю HTTPS/SSL.
Если я создам самозаверяющие сертификаты, затем добавлю сертификат клиента в приложение и заставлю серверную службу требовать этотсертификат клиента, это действительно безопасно?
Вот почему я спрашиваю. Похоже, клиентский сертификат можно было «взломать», опросив .apk. Сертификат клиента — это просто строковая константа, верно? Это означает, что любой может использовать сертификат клиента для доступа к моему бэкенду. Является ли файл .apk (и эквивалент iOS) достаточно непрозрачным, чтобы предотвратить обнаружение сертификата клиента?