我希望用户使用他们的电话号码在我的网络服务上注册他们的设备。
我可以通过验证短信(ala WhatsApp)来确保他们拥有他们输入应用程序的号码。然后应用程序将至少表现出来。
但是,如何阻止人们只是收听发送到服务器的数据,修改数据并使用其他电话号码?然后他们可以注册他们想要的任何电话号码。
我可以在将数据发送出应用程序之前加密数据,但所有源代码都可以从APK反编译,并且可以检索用于加密的代码。
那么我该如何安全地做到这一点?
答案 0 :(得分:2)
应用程序对网络服务说,“发送555-555-5555的激活码”
网络服务说“好”,然后发送短信到555-555-5555,其密码生成并在合理的时间内到期。
用户将代码键入应用程序,该应用程序向服务器发送密码,Web服务将该电话标记为“已验证”。
用户无法收听密码是什么,因为它只会发送到特定的手机。如果用户有足够的资源,它可能会拦截这个...但你必须问......为什么?你能做的最好的事情是将安全性提高到合理的数量,你无法防止任何可能的漏洞,但是你应该付出很大的努力。