我想从Android的新项目开始,因此我需要一个集中式数据库。 因为很容易反编译java并获得数据库连接。对于我的项目,我需要读/写访问权。
我的想法是用PHP创建一个API并从Android查询网站。
我看到的问题是,如果有人知道API的网址,他可以修改数据库......
所以我的问题是,如何保护我的基于php的API免受未经授权的访问?
答案 0 :(得分:3)
查看请求签名或预先存在的平台,例如oAuth。
答案 1 :(得分:1)
您可以提供OAuth或HTTP签名等保护,这是最简单的方式,但HTTP签名在这里并不是很好,因为它太简单了。
您还可以使用设备已知的私钥,例如应用中硬编码的内容。但如果有人找到了这个密码,你的保护就会结束。
您还可以检查HTTP标头以禁用某些用户代理,但可以通过“黑客”进行更改。