我正在尝试实现一种与后端服务器通信的方法,并确保我的后端只能回答,如果它是我正在调用的应用程序。
所以我的想法是,我只是发送带有HTTPS POST请求的SHA1 / MD5指纹并在后端服务器上验证它。如果指纹匹配,服务器将回答。
所以我的第一个问题是:如何在运行时以编程方式获取这些内容?它甚至可能吗?
第二个问题是:它可以那么容易吗?或者我真的必须设置OAuth服务器(或使用google-api)?...问题是,我认为OAuth对我的用例有点过分,我不想处理到期/刷新令牌。
答案 0 :(得分:4)
你想做的事情是不可能的。您作为id发送到服务器的任何内容都可以被其他应用程序复制。这就是为什么您的用户拥有不在应用程序中的密码的原因 - 来自外部源的密码是确保请求有效的唯一方法。这只能证明用户是有效的,而不是来自你的应用程序。
答案 1 :(得分:3)
您可以生成以下示例中的内容:
private void getKeyHash(String hashStretagy) {
PackageInfo info;
try {
info = getPackageManager().getPackageInfo(BuildConfig.APPLICATION_ID, PackageManager.GET_SIGNATURES);
for (Signature signature : info.signatures) {
MessageDigest md;
md = MessageDigest.getInstance(hashStretagy);
md.update(signature.toByteArray());
String something = new String(Base64.encode(md.digest(), 0));
Log.e("KeyHash -->>>>>>>>>>>>" , something);
// Notification.registerGCM(this);
}
} catch (PackageManager.NameNotFoundException e1) {
Log.e("name not found" , e1.toString());
} catch (NoSuchAlgorithmException e) {
Log.e("no such an algorithm" , e.toString());
} catch (Exception e) {
Log.e("exception" , e.toString());
}
}
使用像这样:
getKeyHash("SHA");
getKeyHash("MD5");
第一个答案:你可以使用上面的方法,它是安全和独特的,我一直都在使用它。
第二个答案:您可以使用Auth键,但这完全取决于您,您对此感到满意
答案 2 :(得分:2)
我对Zulqumain Jutt提出的解决方案进行了补充,以便能够以通用形式获得结果,例如:
KeyHelper:MD5 56:ff:2f:1f:55:fa:79:3b:2c:ba:c9:7d:e3:b1:d2:af
public class KeyHelper {
/**
* @param key string like: SHA1, SHA256, MD5.
*/
@SuppressLint("PackageManagerGetSignatures") // test purpose
static void get(Context context, String key) {
try {
final PackageInfo info = context.getPackageManager()
.getPackageInfo(BuildConfig.APPLICATION_ID, PackageManager.GET_SIGNATURES);
for (Signature signature : info.signatures) {
final MessageDigest md = MessageDigest.getInstance(key);
md.update(signature.toByteArray());
final byte[] digest = md.digest();
final StringBuilder toRet = new StringBuilder();
for (int i = 0; i < digest.length; i++) {
if (i != 0) toRet.append(":");
int b = digest[i] & 0xff;
String hex = Integer.toHexString(b);
if (hex.length() == 1) toRet.append("0");
toRet.append(hex);
}
Log.e(KeyHelper.class.getSimpleName(), key + " " + toRet.toString());
}
} catch (PackageManager.NameNotFoundException e1) {
Log.e("name not found", e1.toString());
} catch (NoSuchAlgorithmException e) {
Log.e("no such an algorithm", e.toString());
} catch (Exception e) {
Log.e("exception", e.toString());
}
}
}
答案 3 :(得分:0)
Artur的科林版
fun getSig(context: Context, key: String) {
try {
val info = context.packageManager.getPackageInfo(
BuildConfig.APPLICATION_ID,
PackageManager.GET_SIGNATURES
)
for (signature in info.signatures) {
val md = MessageDigest.getInstance(key)
md.update(signature.toByteArray())
val digest = md.digest()
val toRet = StringBuilder()
for (i in digest.indices) {
if (i != 0) toRet.append(":")
val b = digest[i].toInt() and 0xff
val hex = Integer.toHexString(b)
if (hex.length == 1) toRet.append("0")
toRet.append(hex)
}
val s = toRet.toString()
Log.d(AppConstants.GLOBAL_LOGTAG, s)
}
} catch (e1: PackageManager.NameNotFoundException) {
Log.e("name not found", e1.toString())
} catch (e: NoSuchAlgorithmException) {
Log.e("no such an algorithm", e.toString())
} catch (e: Exception) {
Log.e("exception", e.toString())
}
}