Kako zaščitite React Native aplikacije?

Question

Accepted Answer

Zaščita React Native aplikacij vključuje zaščito **podatkov** (varna shramba, šifrirana prenosa), varno obravnavo **skrivnosti in žetonov**, zaščito **JavaScript paketa** in sledenje mobilnim varnostnim najboljšim praksam. Varnost je pomembna, ker aplikacije obravnavajo občutljive uporabniške podatke.

## Varnost podatkov in poverilnic

```text
✓ SECURE STORAGE for sensitive data — react-native-keychain / expo-secure-store
  (encrypted, keychain/keystore) — NOT AsyncStorage (which is NOT encrypted) for tokens/
  credentials (a common mistake)
✓ HTTPS/TLS for all network traffic; certificate pinning for sensitive apps
✓ Don't HARDCODE secrets/API keys in the JS — the JS BUNDLE can be extracted/inspected
  (anything in the app can be reverse-engineered) → keep real secrets on the SERVER
✓ Secure auth: OAuth, short-lived tokens, secure refresh; biometric auth where appropriate
```

## Varnost kode in platforme

```text
✓ The JS bundle is shipped with the app → assume it can be READ:
  → don't embed sensitive logic/secrets; sensitive operations belong on the server
  → OBFUSCATE (limited protection); detect tampering/jailbreak/root for high-security apps
✓ Validate inputs; secure deep links (validate params); be careful with WebViews
✓ Keep DEPENDENCIES updated (npm vulnerabilities); audit packages (supply chain risk)
```

## Strežniška stran in splošno

```text
✓ NEVER trust the client → validate and authorize on the SERVER (the client can be
  tampered with — a fundamental principle)
✓ Least privilege; protect APIs (auth, rate limiting); don't leak data in logs
✓ Handle permissions minimally; protect user privacy
```

## Zakaj je to pomembno

Razumevanje zaščite React Native aplikacij je pomembno znanje na ravni senior razvijalca, ker **aplikacije obravnavajo občutljive uporabniške podatke** na napravah, ki jih je mogoče ogroziti, zato je varnost bistvena z resničnimi posledicami, če se jo zanemari. **Varnost podatkov in poverilnic** je temeljni: uporaba **varne shrambe** (react-native-keychain/expo-secure-store, šifrirana) za občutljive podatke, kot so žetoni — **ne AsyncStorage**, ki je nešifriran (pogosta, resna napaka) — uporaba **HTTPS/TLS** za vsa sporočila in kritično **nevsebovanje skrivnosti, vkodiranih v JavaScript** (ker se **JS paket dostavi z aplikacijo in ga je mogoče ekstrahirati ter pregledati** — karkoli v aplikaciji je mogoče povratno inženiriti, zato morajo prave skrivnosti ostati na strežniku).

To vprašanje brljivosti JS paketa je kritična React-Native-specifična varnostna posebnost. **Varnost kode in platforme** to okrepi: predpostavljajte, da je mogoče prebrati JS paket (zato občutljiva logika in skrivnosti spadajo na strežnik, ne na odjemalca), potrdite vnose in globoke povezave, bodite previdni z WebView-i in posodabljajte odvisnosti (tveganje dobavne verige npm). **Strežniška preverka** je bistvena: temeljno načelo, da **nikoli ne zaupate odjemalcu** (ki ga je mogoče spreminjati) in da morate preveriti ter avtorizirati na strežniku — kot temelj varnosti, ki je še posebej relevanten glede na to, da je odjemalec mobilna aplikacija, ki se jo da povratno inženiriti.

Razumevanje teh plastnih praks — varne shrambe, šifrirane prenose, ohranjanje skrivnosti na strežniški strani, preverka na strežniški strani in varnost odvisnosti — odraža varnostni pristop, potreben za aplikacije, ki obravnavajo občutljive podatke.

Ker React Native aplikacije obravnavajo občutljive podatke na ogrozljivih napravah (pri čemer je JS paket vidljiv) in ker pravilna varnost (varna shramba ne AsyncStorage, nobenih vkodiranih skrivnosti, preverjanje na strežniški strani, HTTPS) preprečuje prave ranljivosti, ki jih povzroči zanemarjanje, je razumevanje zaščite React Native aplikacij pomembno, varnostno kritično znanje na ravni senior razvijalca — bistveno za zaščito uporabniških podatkov, odraz varnostne odgovornosti, pričakuje se pri senior vlogah, in obravnava prava mobilna tveganja (še posebej brljivi JS paket in nezaupljiv odjemalec), ki so inherentna React Native aplikacijam.