因为小程序端业务的特殊性，最接经常被黄牛党薅羊毛，导致正常消费者的权益受到影响，我想在小程序端对请求的数据进行RSA签名和AES加密后再发起请求，问题是在__签名使用的私钥__与__加密使用的key与iv__以什么样的方式存放到客户端比较好呢，目的是为了私钥与key完全不透明，通过抓包与反编译小程序均无法看到这两个东西，目前有两种思路：

1、通过授权登录接口下发私钥与key；

2、通过提审小程序时的第三方ext_json文件储存

第一种方式明显对于黑客而言私钥与key是暴露的，不知道微信的第三方ext_json文件是什么样的机制，通过这种方式下发私钥能否被黑客获取到。另外除此之外，是否还有其他更安全的方式下发私钥呢。