ਤੁਸੀਂ React Native ਐਪਲੀਕੇਸਨਾਂ ਨੂੰ ਕਿਵੇਂ ਸੁਰੱਖਿਅਤ ਕਰਦੇ ਹੋ?

Question

Accepted Answer

React Native ਐਪਾਂ ਨੂੰ ਸੁਰੱਖਿਅਤ ਕਰਨਾ **ਡੇਟਾ** (ਸੁਰੱਖਿਅਤ ਸਟੋਰੇਜ, ਏਨਕ੍ਰਿਪਟਡ ਪ੍ਰਸਾਰਣ), **ਸਿਕਰਿਟ ਅਤੇ ਟੋਕਨ** ਨੂੰ ਸੁਰੱਖਿਅਤ ਢੰਗ ਨਾਲ ਸੰਭਾਲਣਾ, **JavaScript ਬੰਡਲ** ਨੂੰ ਸੁਰੱਖਿਅਤ ਕਰਨਾ, ਅਤੇ ਮੋਬਾਈਲ ਸੁਰੱਖਿਆ ਦੀਆਂ ਸਰਵੋਤਮ ਅਭਿਆਸਾਂ ਦੀ ਪਾਲਣਾ ਕਰਨਾ ਸ਼ਾਮਲ ਹੈ। ਸੁਰੱਖਿਆ ਮਾਇਨੇ ਰੱਖਦੀ ਹੈ ਕਿਉਂਕਿ ਐਪਾਂ ਸੰਵੇਦਨਸ਼ੀਲ ਯੂਜ਼ਰ ਡੇਟਾ ਸੰਭਾਲਦੀਆਂ ਹਨ।

## ਡੇਟਾ ਅਤੇ ਕ੍ਰੈਡੇਨਸ਼ਿਅਲ ਸੁਰੱਖਿਆ

```text
✓ SECURE STORAGE for sensitive data — react-native-keychain / expo-secure-store
  (encrypted, keychain/keystore) — NOT AsyncStorage (which is NOT encrypted) for tokens/
  credentials (a common mistake)
✓ HTTPS/TLS for all network traffic; certificate pinning for sensitive apps
✓ Don't HARDCODE secrets/API keys in the JS — the JS BUNDLE can be extracted/inspected
  (anything in the app can be reverse-engineered) → keep real secrets on the SERVER
✓ Secure auth: OAuth, short-lived tokens, secure refresh; biometric auth where appropriate
```

## ਕੋਡ ਅਤੇ ਪਲੇਟਫ਼ਾਰਮ ਸੁਰੱਖਿਆ

```text
✓ The JS bundle is shipped with the app → assume it can be READ:
  → don't embed sensitive logic/secrets; sensitive operations belong on the server
  → OBFUSCATE (limited protection); detect tampering/jailbreak/root for high-security apps
✓ Validate inputs; secure deep links (validate params); be careful with WebViews
✓ Keep DEPENDENCIES updated (npm vulnerabilities); audit packages (supply chain risk)
```

## ਸਰਵਰ-ਸਾਈਡ ਅਤੇ ਆਮ

```text
✓ NEVER trust the client → validate and authorize on the SERVER (the client can be
  tampered with — a fundamental principle)
✓ Least privilege; protect APIs (auth, rate limiting); don't leak data in logs
✓ Handle permissions minimally; protect user privacy
```

## ਇਹ ਕਿਉਂ ਮਾਇਨੇ ਰੱਖਦਾ ਹੈ

React Native ਐਪਲੀਕੇਸਨਾਂ ਨੂੰ ਸੁਰੱਖਿਅਤ ਕਰਨ ਦਾ ਤਰੀਕਾ ਸਮਝਣਾ ਸਮਝਣਾ ਮਹੱਤਵਪੂਰਨ ਸੀਨੀਅਰ-ਲੈਵਲ ਗਿਆਨ ਹੈ ਕਿਉਂਕਿ **ਐਪਾਂ ਉਹ ਡੀਵਾਈਸਜ਼ ਉੱਤੇ ਸੰਵੇਦਨਸ਼ੀਲ ਯੂਜ਼ਰ ਡੇਟਾ ਸੰਭਾਲਦੀਆਂ ਹਨ ਜਿਹੜੀਆਂ ਸੰਕਟ ਵਿੱਚ ਪਾਈਆਂ ਜਾ ਸਕਦੀਆਂ ਹਨ**, ਇਸ ਲਈ ਸੁਰੱਖਿਆ ਲਾਜ਼ਮੀ ਹੈ ਅਤੇ ਅਸਫ਼ਲਤਾ ਦਾ ਅਸਲ ਨਤੀਜਾ ਹੁੰਦਾ ਹੈ। **ਡੇਟਾ ਅਤੇ ਕ੍ਰੈਡੇਨਸ਼ਿਅਲ ਸੁਰੱਖਿਆ** ਮੂਲ ਹੈ: ਸੰਵੇਦਨਸ਼ੀਲ ਡੇਟਾ ਜਿਵੇਂ ਕਿ ਟੋਕਨ ਲਈ **ਸੁਰੱਖਿਅਤ ਸਟੋਰੇਜ** (react-native-keychain/expo-secure-store, ਏਨਕ੍ਰਿਪਟਡ) ਦੀ ਵਰਤੋਂ ਕਰਨਾ — **AsyncStorage ਨਹੀਂ** ਜੋ ਕਿ ਅਨੋਖੀ ਹੈ (ਇੱਕ ਆਮ, ਗੰਭੀਰ ਗਲਤੀ) — ਸਾਰੀ ਟ੍ਰੈਫਿਕ ਲਈ **HTTPS/TLS** ਦੀ ਵਰਤੋਂ ਕਰਨਾ, ਅਤੇ ਮਹੱਤਵਪੂਰਨ ਤੌਰ ਉੱਤੇ **JavaScript ਵਿੱਚ ਸਿਕਰਿਟ ਹਾਰਡਕੋਡ ਨਾ ਕਰਨਾ** (ਕਿਉਂਕਿ **JS ਬੰਡਲ ਐਪ ਦੇ ਨਾਲ ਭੇਜਿਆ ਜਾਂਦਾ ਹੈ ਅਤੇ ਖਿਲਾਰੀ ਅਤੇ ਨਿਰੀਖਣ ਕੀਤਾ ਜਾ ਸਕਦਾ ਹੈ** — ਐਪ ਵਿੱਚ ਕੁਝ ਵੀ ਰਿਵਰਸ-ਇੰਜਨੀਅਰ ਕੀਤਾ ਜਾ ਸਕਦਾ ਹੈ, ਇਸ ਲਈ ਅਸਲ ਸਿਕਰਿਟ ਸਰਵਰ ਉੱਤੇ ਰਹਿਣੀ ਚਾਹੀਦੀ ਹੈ)।

ਇਹ JS-ਬੰਡਲ-ਪੜ੍ਹਨਯੋਗ ਨੁਕਤਾ ਇੱਕ ਮਹੱਤਵਪੂਰਨ React-Native-ਮਖਸੂਸ ਸੁਰੱਖਿਆ ਵਿਚਾਰ ਹੈ। **ਕੋਡ ਅਤੇ ਪਲੇਟਫ਼ਾਰਮ ਸੁਰੱਖਿਆ** ਇਸ ਨੂੰ ਮਜ਼ਬੂਤ ਕਰਦੀ ਹੈ: JS ਬੰਡਲ ਨੂੰ ਪੜ੍ਹਨ ਯੋਗ ਮੰਨਣਾ (ਤਾਂ ਜੋ ਸੰਵੇਦਨਸ਼ੀਲ ਤਰਕ ਅਤੇ ਸਿਕਰਿਟ ਸਰਵਰ ਉੱਤੇ ਹੋਣੀ ਚਾਹੀਦੀ ਹੈ, ਕਲਾਇੰਟ ਉੱਤੇ ਨਹੀਂ), ਇਨਪੁਟ ਅਤੇ ਡੀਪ ਲਿੰਕਾਂ ਨੂੰ ਪ੍ਰਮਾਣਿਤ ਕਰਨਾ, WebViews ਨਾਲ ਸਾਵਧਾਨ ਹੋਣਾ, ਅਤੇ ਡਿਪੈਂਡੇਂਸੀਜ਼ ਨੂੰ ਅੱਪਡੇਟ ਰੱਖਣਾ (npm ਸਪਲਾਈ-ਚੇਨ ਜ਼ੋਖਮ)। **ਸਰਵਰ-ਸਾਈਡ ਪ੍ਰਮਾਣਨ** ਜ਼ਰੂਰੀ ਹੈ: ਬੁਨਿਆਦੀ ਸਿਧਾਂਤ ਕਿ ਤੁਸੀਂ **ਕਦੇ ਕਲਾਇੰਟ ਵਿੱਚ ਭਰਾਸਾ ਨਾ ਕਰੋ** (ਜਿਹੜਾ ਛੇੜਛਾੜ ਕੀਤਾ ਜਾ ਸਕਦਾ ਹੈ) ਅਤੇ ਸਰਵਰ ਉੱਤੇ ਪ੍ਰਮਾਣਿਤ ਅਤੇ ਅਧਿਕਾਰ ਹੋਣਾ ਲਾਜ਼ਮੀ ਹੈ — ਸੁਰੱਖਿਆ ਦੀ ਇੱਕ ਸਨਮ ਪੱਥਰ ਜਾ ਪ੍ਰਭਾਵਸ਼ਾਲੀ ਜਦ ਕਲਾਇੰਟ ਇੱਕ ਰਿਵਰਸ-ਇੰਜਨੀਅਰੀ ਮੋਬਾਈਲ ਐਪ ਹੈ।

ਇਹ ਲੇਅਰਡ ਪ੍ਰੈਕਟਿਸ ਨੂੰ ਸਮਝਣਾ — ਸੁਰੱਖਿਅਤ ਸਟੋਰੇਜ, ਏਨਕ੍ਰਿਪਟਡ ਪ੍ਰਸਾਰਣ, ਸਿਕਰਿਟ ਸਰਵਰ-ਸਾਈਡ ਰੱਖਣਾ, ਸਰਵਰ-ਸਾਈਡ ਪ੍ਰਮਾਣਨ, ਅਤੇ ਡਿਪੈਂਡੇਂਸੀ ਸੁਰੱਖਿਆ — ਸੰਵੇਦਨਸ਼ੀਲ ਡੇਟਾ ਸੰਭਾਲਣ ਵਾਲੀਆਂ ਐਪਾਂ ਲਈ ਲਾਜ਼ਮੀ ਸੁਰੱਖਿਆ ਮਾਨਸਿਕਤਾ ਨੂੰ ਦਰਸਾਉਂਦਾ ਹੈ।

ਕਿਉਂਕਿ React Native ਐਪਾਂ ਸੰਕਟ ਵਿੱਚ ਆ ਸਕਣ ਵਾਲੀਆਂ ਡੀਵਾਈਸਜ਼ ਉੱਤੇ ਸੰਵੇਦਨਸ਼ੀਲ ਡੇਟਾ ਸੰਭਾਲਦੀਆਂ ਹਨ (JS ਬੰਡਲ ਦੇ ਨਾਲ ਨਿਰੀਖਣਯੋਗ ਹੋਣ ਦੇ ਨਾਤੇ), ਅਤੇ ਕਿਉਂਕਿ ਸਹੀ ਸੁਰੱਖਿਆ (ਸੁਰੱਖਿਅਤ ਸਟੋਰੇਜ AsyncStorage ਨਹੀਂ, ਕੋਈ ਹਾਰਡਕੋਡਡ ਸਿਕਰਿਟ ਨਹੀਂ, ਸਰਵਰ-ਸਾਈਡ ਪ੍ਰਮਾਣਨ, HTTPS) ਅਸਲ ਕਮਜ਼ੋਰੀਆਂ ਨੂੰ ਰੋਕਦੀ ਹੈ ਜਾ ਅਸਫ਼ਲਤਾ ਦਾ ਕਾਰਣ ਬਣਦੀ ਹੈ, React Native ਐਪਲੀਕੇਸਨਾਂ ਨੂੰ ਸੁਰੱਖਿਅਤ ਕਰਨ ਦਾ ਤਰੀਕਾ ਸਮਝਣਾ ਮਹੱਤਵਪੂਰਨ, ਸੁਰੱਖਿਆ-ਮਹੱਤਵਪੂਰਨ ਸੀਨੀਅਰ-ਲੈਵਲ ਗਿਆਨ ਹੈ — ਯੂਜ਼ਰ ਡੇਟਾ ਦੀ ਸੁਰੱਖਿਆ ਲਈ ਜ਼ਰੂਰੀ, ਸੀਨੀਅਰ ਭੂਮਿਕਾਵਾਂ ਲਈ ਲਾਜ਼ਮੀ ਸੁਰੱਖਿਆ ਜ਼ਿੰਮੇਵਾਰੀ ਨੂੰ ਪ੍ਰਤਿਬਿੰਬਿਤ ਕਰਦੇ ਹੋਏ, ਅਤੇ React Native ਐਪਸ ਵਿੱਚ ਪ੍ਰਮੁਖ ਮੋਬਾਈਲ-ਐਪ ਜ਼ੋਖਮ (ਖਾਸ ਤੌਰ ਉੱਤੇ ਪੜ੍ਹਨ ਯੋਗ JS ਬੰਡਲ ਅਤੇ ਅਭਰਾਸੇਯੋਗ ਕਲਾਇੰਟ) ਨੂੰ ਹੱਲ ਕਰਦਾ ਹੈ।