我想从一个新的 Android 项目开始,因此我需要一个集中式数据库。因为反编译java并获得数据库连接非常容易。对于我的项目,我需要读/写访问权限。
我的想法是用 php 创建一个 API 并从 Android 查询网站。
我看到的问题是,如果有人知道 API 的 url,他可以修改数据库......
所以我的问题是,如何保护基于 php 的 API 免受未经授权的访问?
问问题
547 次
2 回答
3
查看请求签名,或像oAuth这样的预先存在的平台。
于 2012-07-01T18:56:40.717 回答
1
您可以提供 OAuth 或 HTTP 签名等保护,这是最简单的方法,但 HTTP 签名在这里并不是很好,因为它太简单了。
您还可以使用设备已知的私钥,例如在您的应用程序中硬编码的内容。但是,如果有人找到此密码,您的保护就结束了。
您还可以检查 HTTP 标头以禁用某些用户代理,但它可以由“黑客”更改。
于 2012-07-01T19:02:10.933 回答