0

对不起,如果我问一个微不足道的问题......

我一直在为我的 Android 应用程序编写一个 HTTP 服务器。目前我正在使用 Netty 作为我的服务器。

这是我的服务器配置。

  1. 客户端发送带有 ID 和密码的请求以登录。
  2. 然后服务器以分配给每个 ID 的特定 userNumber 响应。
  3. 客户可以使用此用户号获得他想要的任何东西(图像,个人资料信息......)。

但是,这是我的大问题。

如果他有正确的请求方法(POST)、正确的用户编号(每个 ID 的静态编号),任何人(即使是未登录的用户)都可以访问我的服务器内容。

愚蠢的是,我认为 SSL 可以以某种方式神奇地验证用户身份。现在我知道它不会进行身份验证,而是保护正在传输的消息。

简而言之,有哪些方法可以阻止未经身份验证的用户?客户端是否应始终为每个请求发送 ID、密码(登录时存储在本地)以证明它是有效用户?

4

1 回答 1

2

将用户名和密码存储在共享首选项中,并使用存储在共享首选项中的值准备一个 HTTP 请求。

脚步

  1. 将用户的登录凭据存储在共享首选项中
  2. 获取 HTTP 请求的 url。
  3. 使用共享首选项中的登录凭据准备一个新 URL
  4. 您可以发送登录凭据,也可以为此客户端生成临时访问令牌
  5. 使用 HTTP url 发送适当的访问令牌
  6. 用户注销时访问令牌将销毁
于 2013-09-16T09:09:54.713 回答