我正在构建一个使用我在服务器上托管的肥皂网络服务的 android 应用程序。在不久的将来,我还将为其他移动操作系统提供客户端应用程序。我在下面发布的 Web 服务安全存在一些问题。
如何保护移动设备应用程序上用于 wsse 身份验证的用户名/密码?我不想使用特定于 android 的东西,因为在不久的将来我可能会推出适用于 iPhone/Blackberry 的应用程序
如果有人反编译apk文件并获得wsdl url,如何防止DOS-拒绝服务攻击?
HTTPPS真的值得吗?如果黑客从应用程序中获取 wsdl url,他可以触发错误请求,这些请求最终会进入 DOS。
将 oAuth 与 REST 一起使用是否比 SOAP 与 wsse 有优势?
我觉得如果黑客最终获得了 wsdl url,他可以自己触发数百个错误的未经身份验证的请求,这可能会使我的服务器超载。请帮助我找出适合我的场景的最佳解决方案。