Android PHP Webservice安全性

时间:2012-06-18 10:42:05

标签: php android web-services security

我已经构建了一个应用程序,它通过POST在从Android到PHP服务器的HTTP请求上发送JSON数组。

我的问题是如何确保安全? 如何在服务器端以安全的方式进行身份验证?

使用SSL连接发送数据就够了吗?或者我应该使用RSA或其他东西加密它?

2 个答案:

答案 0 :(得分:1)

这取决于您要保护的内容,SSL会阻止任何人收听通信,您不需要在顶部添加其他加密。

如果您要保护Web服务本身免受未经授权的使用,那么您需要用户注册并发送用户名&要连接的密码(或更好的密码哈希),您可以为每个请求使用密码,也可以生成一个密钥,该密钥将随每个请求一起发送以验证用户身份。

IMEI的想法并不太好,因为如果你有超过1,2个用户,你首先需要让每个人的IMEI都变得非常痛苦,即便如此,这也是伪造的,因为你的Android应用可以拆开为任何IMEI服务。

答案 1 :(得分:1)

考虑使用IMEI作为路西法建议我会这样做:

  1. 打开一个Android应用程序 - 如果我没有登录该应用程序会向我显示一些LoginActivity
    1. 我输入了登录名和密码,然后点击“登录”按钮
    2. 在Android应用程序中
    3. 您散列密码并向包含登录名,哈希密码和imei的服务器发送HTTP发布请求
    4. 服务器部分将尝试登录该用户(并记录任何不合适的行为或输入)并返回true或false(取决于用户是否可以登录)
    5. 将登录信息存储在应用程序中的某个位置,以便用户无需在每次关闭并重新打开应用程序时登录 - 当应用程序在后台运行时(直到dalvik决定将其杀死),用户应被视为登录...
  2. 如果用户已登录,请继续使用该应用程序
  3. 在这种情况下,必须使用SSL(HTTPS)......