php - 存储 FTP 通行证并与 PHP 进行安全通信

Question

我有两个问题...它们都是关于 android 应用程序的安全问题..

1. 从我的应用程序将照片发送到我的 ftp 服务器，所以我需要存储 ftp、用户和 pass.. 最好的方法是什么？我担心这些值可以通过逆向工程轻松地从代码中读取..我正在考虑共享首选项，但我认为这还不够......或者向我的服务器发送请求，然后返回传递给 ftp 服务器（这是一部分第二个问题：）

2. 在应用程序中与 php 服务器通信（创建订单，然后在应用程序计费中，最后确认订单已经支付......我必须在 android 和 php 之间编写安全通信 ..（现在 android 通过 post 方法将 json 数据发送到 php 服务器。 .so如果有人找出url和json格式的数据..他可以创建ordef并确认它）..在应用程序中没有登录或注册过程..我正在考虑在android上使用公钥和私钥的不对称加密服务器..或者也许 SSL 是一个解决方案..我很困惑，所以欢迎任何建议..

如果可以对 apk 进行逆向工程，我不知道如何保护应用程序。

Answer 1

1. 而不是使用 FTP 为您的应用程序创建允许发布图像的简单 API。那将是更好，更安全的解决方案。Android 几乎没有用于 HTTP POST 请求的内置方法。

2. SSL 仅保护之间的通信。大多数常见的应用程序不会将密码存储在文件中，只是使用 API 请求来验证凭据并获取将在未来请求中使用的令牌。您可以为此令牌设置超时并为每个设备创建一个令牌。这更安全，因为它更容易取消令牌而不是通知用户密码已泄露 :) 使用众所周知的解决方案，如提到的带有认证令牌的公钥 - 私钥（使用私钥生成的令牌 + 设备指定的数据，例如 DeviceID ETC）。不要存储密码，即使是加密的。