我的问题如下:
1. 用户使用Google+ API登录Android应用
2。用户想要提交内容(例如视频),所以他打电话给 来自App脚本的PHP包含所有帖子变量(video_name, creator,video_description,video_url)
3. 服务器将所有内容存储在MySQL数据库中
问题是2.当服务器存储“创建者”名称时的部分
创作者 = Google Plus名称
因为有人可以反编译应用程序并使用自定义POST变量构建POST请求,因此“黑客”可以输入任何名称作为创建者名称。
如何可以防止这种情况和/或当用户仅在Android应用中进行身份验证且未在服务器端进行身份验证时,是否有任何解决方法可以将用户名传递给服务器?
答案 0 :(得分:2)
一个好的方法是将登录详细信息提交给服务器,在您的情况下是在步骤#2中,并在那里再进行一次身份验证。我想你将在服务器上使用php,所以请看下面的页面,我相信你需要的: https://developers.google.com/+/web/signin/client-to-server-flow
发送令牌后,您需要进行验证:
https://developers.google.com/+/web/signin/token-verification
这里有更多细节: