Я хотел бы иметь безопасную связь между моим Android/iOS-приложением и моим интернет-доступным бэкэнд-сервисом, поэтому я изучаю HTTPS/SSL.
Если я создаю самозаверяющие сертификаты, а затем поставлю сертификат клиента в приложение и заставим серверную службу требовать сертификат клиента, это действительно безопасно?
Вот почему я спрашиваю. Кажется, что клиентский сертификат можно "взломать", опросив .apk. Сертификат клиента - это просто строковая константа, не так ли? Это означает, что любой пользователь может использовать сертификат клиента для доступа к моему серверу. Является ли эквивалент .apk(и iOS) достаточно непрозрачным для предотвращения обнаружения сертификата клиента?