我正在构建一个Android应用程序,它使用我在我的服务器上托管的soap Web服务。我也将在不久的将来为其他移动操作系统提供客户端应用程序。我在下面发布的Web服务安全性存在一些问题。
如何保护移动设备应用上用于wsse身份验证的用户名/密码?我不想使用特定于Android的东西,因为我可能会在不久的将来为iPhone / Blackberry提供应用程序
如果有人反编译apk文件并获取wsdl url,如何防止DOS - 拒绝服务攻击?
HTPPS真的值得吗?如果黑客从应用程序获取wsdl url,他可以触发可能最终在DOS中的错误请求。
将oAuth与REST结合使用是否优于使用wsse的SOAP?
我觉得如果黑客最终获得了wsdl url,他可以触发数百个错误的未经身份验证的请求,这可能会使我的服务器超载。请帮我找出适用于我的方案的最佳解决方案。