3

我的应用程序有注册表,它通过发送数据到服务器HTTP headers

旨在寻找最简单的方法来保护我的 API 以防止垃圾邮件发送者的注册 URL 注入

例如,如果您访问http://website.com/register.php?name=bla&email=bla@bla.bla

该脚本将自动添加新用户,因为没有密钥或安全令牌来防止 URL 注入

知道如何在 android 中制作安全令牌吗?

4

2 回答 2

4

您无能为力,如果有人反编译您的代码,他会找出您创建令牌的方式并使用该过程创建假令牌。尽管如此,这将增加一层保护,因为不是每个人都熟悉反编译和逆向工程应用程序

您无法 100% 保护您的应用免受虚假注册的影响,因为用户没有任何您可以检查的凭据。虚假注册并没有那么糟糕,因为它们不会对您造成太大伤害。

您可以限制虚假注册造成的损害

  • 延迟每个注册响应 z 秒
  • 不允许来自同一 IP 的每分钟注册次数超过 x 次
  • 每分钟不允许超过 y 次注册

我建议使用 https(http 是纯文本)来保护应用程序 - 服务器通信,因此第三方无法获取用户数据。这将加密 url 以及标题和内容,因此没有人会知道您的应用正在发送什么以及发送到哪个 url。只有反编译应用程序才能打败它。

于 2013-05-03T07:01:45.737 回答
1

我会使用哈希并将其包含在 url 中。

例如,

http://example.com/register.php?name=bla&email=bla@bla.bla&hash=XXXX

其中 XXXX 是种子和名称和电子邮件的函数。

如何在 Android 中对字符串进行 SHA1 哈希处理?

有关于如何进行 SHA-1 哈希的信息。

于 2013-05-03T01:50:22.877 回答