如何仅向经过身份验证的用户提供私有内容?

时间:2013-09-16 09:04:01

标签: android security http authentication

对不起,如果我问一个微不足道的问题......

我一直在为我的Android应用程序编写HTTP服务器。目前我正在使用Netty作为我的服务器。

这是我服务器的配置。

  1. 客户端发送带有ID和密码的请求以登录。
  2. 然后服务器响应并为每个ID分配特定的userNumber。
  3. 客户可以使用此用户号获得他想要的任何内容(图片,个人资料信息......)。
  4. 然而,这是我的大问题。

    任何人(即使是未登录的用户)如果拥有正确的请求方法(POST),正确的用户编号(每个ID的静态编号),也可以访问我的服务器内容。

    愚蠢的是我认为SSL可以以某种方式神奇地验证用户身份。现在我知道它不会进行身份验证,而是确保传输的邮件的安全性。

      

    简而言之,有哪些方法可以阻止未经身份验证的用户?客户端是否应始终为每个请求发送ID,密码(登录时存储在本地)以证明其是有效用户?

1 个答案:

答案 0 :(得分:2)

商店用户名&共享偏好中的密码& 使用存储在共享首选项中的值准备HTTP请求。

步骤

  1. 将用户的登录凭据存储在共享首选项中
  2. 获取HTTP请求的网址。
  3. 使用共享偏好设置中的登录凭据准备新网址
  4. 您可以发送登录凭据,也可以为此客户端生成临时访问令牌
  5. 使用HTTP网址
  6. 发送相应的访问令牌
  7. 访问令牌将在用户注销时销毁