uni-app在manifest.json中填入的密钥，打包成apk后被解包，在AndroidManifest.xml中可以明文看到

在开发使用uni-app进行跨平台应用开发时，保护应用的安全性和敏感信息是非常重要的。特别是在将应用打包成APK后，确保manifest.json中的密钥等信息不被泄露是开发者需要关注的重点。虽然完全防止APK被反编译并查看源代码是困难的，但可以通过一些方法增加反编译的难度和复杂度。

首先，需要明确的是，uni-app的manifest.json中的配置信息在打包过程中会被转化为原生应用的配置文件，如Android的AndroidManifest.xml。因此，直接在配置文件中存储敏感信息（如密钥）是不安全的。

以下是一些推荐的做法，用于在uni-app项目中更安全地处理密钥：

1. 使用环境变量： 在uni-app中，可以使用环境变量来存储敏感信息。这些环境变量在构建过程中被注入，而不是直接写在配置文件中。

   // 在.env文件中定义环境变量
   VUE_APP_SECRET_KEY=your_secret_key_here
   
   // 在代码中访问环境变量
   const secretKey = process.env.VUE_APP_SECRET_KEY;
   

   确保.env文件不被包含在源代码仓库中，并在构建过程中动态注入这些变量。

2. 使用代码混淆： 在构建APK时，启用代码混淆可以增加反编译后代码的阅读难度。虽然这并不能完全防止反编译，但可以使攻击者难以理解代码逻辑。

   在uni-app的vue.config.js中配置webpack的混淆选项（注意，uni-app的webpack配置可能需要通过插件或自定义脚本实现）：

   module.exports = {
     configureWebpack: {
       optimization: {
         minimize: true,
         minimizer: [
           // 其他minimizer配置...
           new TerserPlugin({
             terserOptions: {
               compress: {
                 drop_console: true, // 可选：移除console语句
                 // 其他混淆选项...
               },
               mangle: true, // 启用变量名混淆
             },
           }),
         ],
       },
     },
   };
   

   注意：代码混淆可能会引入一些bug，因此需要在混淆后进行充分的测试。

3. 使用安全的密钥管理服务： 对于非常敏感的密钥，考虑使用云服务提供的密钥管理服务（如AWS KMS、Azure Key Vault等），这些服务允许在运行时安全地获取密钥，而无需在代码中硬编码。

通过结合以上方法，可以大大降低敏感信息泄露的风险。然而，需要注意的是，没有绝对的安全措施，因此应持续关注和更新安全实践。