Как безопасно работать с API-ключами и секретами?
- НИКОГДА не захардкоживайте API-ключи (JS-бандл извлекаем)
- Используйте бэкенд-прокси: App → HTTPS → Backend (с API-ключом) → External API
- Access Tokens в Secure Store (Keychain iOS, Android Keystore)
- Refresh Tokens в Secure Store
- Hermes bytecode (.hbc) в release — не настоящая обфускация, но сложнее читать
- ProGuard для обфускации Android Java/Kotlin кода