我已经构建了一个应用程序,该应用程序通过 POST 在从 Android 到 PHP 服务器的 HTTP 请求上发送 JSON 数组。
我的问题是如何确保安全?如何在服务器端以安全的方式进行身份验证?
用 SSL 连接发送数据就够了吗?还是我应该用 RSA 或其他东西加密它?
问问题
1640 次
2 回答
1
这取决于您要保护的内容,SSL 将阻止任何人监听通信,您无需在顶部添加其他加密。
如果您要保护 Web 服务本身免受未经授权的使用,那么您需要用户注册并发送用户名和密码(或更好的密码哈希)以进行连接,然后您可以为每个请求使用密码或生成一个密钥,该密钥将是与每个请求一起发送以对用户进行身份验证。
IMEI 的想法不是太好,因为如果您有超过 1,2 个用户,您首先需要让每个人的 IMEI 以某种方式成为巨大的痛苦,即使这样,这也是可以伪造的,因为您的 Android 应用程序可以拆开并提供服务任何 IMEI。
于 2012-06-18T11:02:33.460 回答
1
考虑使用 IMEI 作为 Lucifer 建议我会这样做:
- 打开一个 Android 应用程序 - 如果我没有登录,该应用程序会显示一些 LoginActivity
- 我输入登录名和密码,然后单击“登录”按钮
- 在 Android 应用程序中,您对密码进行哈希处理,并向服务器发送一个 HTTP 发布请求,其中包含登录名、哈希密码和imei
- 服务器部分将尝试登录该用户(并记录任何不适当的行为或输入)并返回真或假(取决于用户是否可以登录)
- 将登录信息存储在应用程序中的某个位置,这样用户就不必在每次关闭和重新打开应用程序时都登录 - 当应用程序在后台运行时(直到 dalvik 决定终止它),用户应该被视为已登录。 ..
- 如果用户已登录,则继续使用该应用程序
在这种情况下,必须使用 SSL (HTTPS)...
于 2012-06-18T11:58:46.507 回答