android - ASMX 网络服务，安卓

Question

Android App ksoap2 使用 HttpsTransportSE(SSL) 在 header 中传递用户名和密码。在 asmx Web 服务中验证用户名和密码。

我不希望任何人能够编写自己的应用程序并使用 Web 服务。但是，我不希望用户必须输入用户名和密码。我打算在代码中存储用户名和密码，但我不知道这种方法在 android 上的安全性如何。如果您有更好的建议，我将不胜感激。

谁能告诉我我可以做些什么来保护这个应用程序？

谢谢

Answer 1

就像我上面已经说过的答案一样，有很多选项可供您使用。

您可以使用SoapHeaders来实现 Web 服务的安全性。

或者，实施您自己的Permimeter Service Router以确保只有经过身份验证的用户才能访问您的专用网络。

这是MSDN上一篇关于Web 服务安全性的优秀文章。

Answer 2

一般来说，任何能够在没有逆向工程保护的情况下在应用程序中读取的内容。在您的代码中存储用户名和密码不是一个好主意。

但这取决于应用程序的类型。有很多方法可以保护您的 Web 服务。

以下是其中的几个：

• 使用用户名+密码进行基本身份验证
• 使用对称密钥的用户名认证
• 基于token的认证
• SAML
• 等等

给你一些参考：

• http://metro.java.net/guide/ch12.html#ahicv1
• http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0.pdf