3

我的服务器公开了许多 REST 服务,我希望保护 Web 服务,使其只能由我拥有的 android 应用程序使用。

基本上客户端(android 应用程序)和服务器都是由我开发的;我只需要向我的 android 应用程序公开 REST 服务。

我想到了多种保护 REST 服务的方法,例如

  • 使用基于用户名/密码的身份验证
  • 智威汤逊令牌
  • 基于签名的验证
  • 等等

在所有情况下,android 应用程序都应将密码存储在应用程序中;在这种情况下,黑客可以轻松反编译应用程序并获取密码。

如何保护只能由 android 应用程序访问的 REST?

编辑:客户端应用程序不需要用户的任何身份验证

4

4 回答 4

3

您可以将 SSL 与客户端身份验证一起使用。服务器必须知道应用程序的公钥,而应用程序必须知道服务器的公钥。应用程序的私钥使用密钥库存储在应用程序本身中,这是一种防止反编译的安全方法,请查看https://developer.android.com/training/articles/keystore.html

选择:

获取您的应用程序的哈希

public void traceKeyHash(Activity activity){
    try {
        PackageInfo info = activity.getPackageManager().getPackageInfo("your.package.here", PackageManager.GET_SIGNATURES);
        for (Signature signature : info.signatures) {
            MessageDigest md = MessageDigest.getInstance("SHA");
            md.update(signature.toByteArray());
            Log.i(getClass().getName(), "Share - KeyHash: " + Base64.encodeToString(md.digest(), Base64.DEFAULT));
        }
    }
    catch (Exception e) {
        e.printStackTrace();
    }
}

现在您必须将哈希发送到您的服务器,但是......为了避免嗅探请求,您必须加密您的哈希。使用存储在密钥库中的私钥加密您的哈希,并使用服务器端的公钥解密消息,检查哈希是否与您注册的匹配。

于 2015-09-30T07:43:59.383 回答
1

你不能。身份验证是通过在客户端和服务器之间共享一些秘密来完成的。如果你把这个秘密放在你的应用程序中,它将被反编译和窃取(如果有人足够关心的话)。如果您将该秘密(如密码)提供给某人,您可以验证该人的身份,但该人可以将其输入假应用程序。当您处理不受您控制的未知硬件时,无法确保它是您的应用程序而不是其他人的应用程序 - 您只能确保用户已获得授权。

于 2015-03-28T18:51:42.780 回答
0

我建议你永远不要在客户端存储密码。使用授权密钥。用户在第一次身份验证时输入登录名和密码一次,然后服务器检查凭据并发出身份验证令牌。结果客户端必须只存储令牌。

于 2015-03-28T18:47:48.670 回答
0
  1. 让用户登录以发出令牌。保存令牌颁发者的应用程序 ID。
  2. 当使用令牌访问 Web 服务时,服务器可以验证该令牌确实是通过 appId y 发送给用户 x 的。
于 2015-04-02T06:46:56.410 回答