问在移动平台上管理API密钥

EN

由于我目前正在大量使用移动应用程序，因此提出了一个问题：

在移动应用程序中正确存储和传输API密钥的How？

当我大多数时候分析移动应用程序时，使用正确的工具提取秘密信息是很容易的(例如，转储密钥链，反向工程密码功能，用静态分析检测硬编码秘密，.)从应用程序。因此，通常可以获得一个已使用的API键at rest。

另一种方法是监视流量并执行MITM攻击。因此，API键通常可以被嗅探到at传输。即使使用了证书钉扎，也有一些简单的方法可以绕过类似的客户端机制。

现在，我想了解如何降低风险，让像我这样的人能够访问这些使用过的API密钥。通过移动应用程序与需要API密钥的远程API进行通信的最佳实践是什么？