2

这是我对rails server和android的想法。请让我知道以下步骤是否有意义。

首先,当安卓应用程序第一次启动时,用户将输入他/她的电子邮件地址和密码。

然后,应用程序将向 Rails 服务器请求对用户进行身份验证,服务器将返回令牌(在令牌身份验证中)。

应用程序存储令牌并附加令牌以供后续请求。(例如:http ://myServerUrl.com/books/list?auth_token:xxxx )服务器将检查令牌是否存在是用户表,然后以 JSON 格式将凭证数据发送回应用程序。

我的问题是,

  • 第一次,当在 HTML 正文中使用电子邮件地址和密码向服务器发出请求时(在 POST 的情况下),它是否安全?如果用户使用 wifi,整个纯文本将暴露给公众。是否有任何安全的方法可以将电子邮件和密码发送到服务器?是否需要 SSL 或非对称加密或 HTTPS?
  • 从服务器接收到身份验证令牌后,应用程序将为后续请求附加该令牌。换句话说,身份验证令牌也将作为纯文本公开。有什么安全的方式来提出请求吗?如果有人转储一个完整的请求并将其发送到服务器,服务器如何知道它是否是一个有效的请求?

由于我对 ror 和 android 应用程序还很陌生,任何帮助都会大大减轻我的痛苦。

4

1 回答 1

0

我想我想通了...

首先,安卓应用需要使用邮箱和密码登录。服务器将使用身份验证令牌进行响应。

应用程序将使用令牌访问凭证数据,但请求应以 HTTPS 形式发送。

Jav_Rock 写了所有连接都在 HTTPS 中处理的评论。我计划测试与 HTTP 相比,HTTPS 连接是否能提供合理的速度。如果响应时间很重要,HTTPS 可能会减慢应用程序的速度。

我会在测试 HTTPS 后再次发布。

于 2012-10-06T05:06:31.000 回答