我们一直在我们的 android 应用程序中实现 Facebook Android SDK,它需要将应用程序签名存储在 facebook 服务器上,以便可以验证从应用程序到 facebook 的调用。我们想将此系统用于我们自己的后端,以确保它仅被我们的应用程序使用,对此我有以下问题:
(参考https://github.com/facebook/facebook-android-sdk/tree/master/facebook/src/com/facebook/android找到相关类)
- 显然,要通过匹配签名来验证调用,需要将应用程序的签名发送到服务器。在 sdk 中,我似乎无法找到这是在哪里完成的?
- 好像没有使用https,对吗?(实用程序.java)
- 难道不能嗅探签名使整个系统毫无意义吗?
- Facebook.java 在文件底部保存 facebook 应用程序的签名。改变这一点似乎微不足道。但是,据我了解,发送 Intent 的应用程序的签名可以通过该 Intent 解决。Android 系统对此进行管理,因此无法伪造签名。但是,在调用 url 时,Android 系统能否以不可变的方式将签名添加到协议中?我猜不是,这让我对上述问题感到好奇。
[编辑回复 nitzan & zapl]
我要实现的目标与 facebook sdk 要求您将签名存储在其服务器上的原因相同;确保对我们后端的调用是从我们的应用程序发送的,而不是其他任何东西。我们不想让机器人或其他应用程序访问我们的服务器 API。facebook sdk 有方法来检查 Intent 是否来自 Facebook 应用程序,这是安全的,因为 Android 系统对签名和 Intent 的封闭管理。解决此问题的唯一方法是运行修改后的 Android 版本,该版本允许覆盖应用程序签名,但人们构建和运行的几率可以忽略不计。但是,运行应用程序、嗅探通过非 https 协议发送的签名并构建使用此签名和 api 调用的应用程序不是。似乎使这样一个系统工作的唯一方法是使用 https,
请注意,我在上面描述的 Intent 验证方法与对 facebook 服务器的 url 调用不同。Intents 用于让设备上的 Facebook 应用程序与实现 SDK 的应用程序进行通信。Android 系统确保与传入 Intent 一起发送的 Facebook 应用程序的签名不会被伪造,因此 Facebook 应用程序->应用程序通信系统是安全的。与这个内部系统相反,我的问题是关于到服务器的传出 url 调用的外部系统,如果签名可以在调用中不可变地发送,这将是安全的,基本上实现与 Intent 系统相同的系统。
[编辑 2]
与我们假设的相反,事实证明应用签名很容易获取。虽然应用程序需要使用私有开发人员密钥进行签名,但这不会损害 Android 上应用程序的安全性,但它显然不能用于验证 api 调用服务器端。
这就引出了更多问题:
- 为什么 Facebook 实施这个系统,而它很容易被攻破?
- 是否有任何其他已知的实现来限制服务器 api 仅访问特定应用程序?(混淆除外)