我有一个应用程序,可以从服务器通过http检索数据。应用程序发送带有一些变量的POST请求以执行查询并以JSON格式检索数据。
问题是我找不到一种方法可以将数据安全地保存到我的服务器中(只有安装了MY应用程序的用户才能访问)。如果有人获取我的应用程序,并对其进行反编译(即使ProGuard赢得了太长时间也不会这样做),修改后的应用程序可以使用完全相同的协议,参数和IP地址开始向我的服务器发送请求。
因此,简而言之,问题是:有没有办法检查(服务器端,当然)如果请求来自合法用户?,任何方式来检查请求者是否正在使用我的应用程序而不是一个改装的?
PS:我一直在寻找像这样的问题,只发现另一个建议用户登录"接近作为答案。我不想用任何登录机制来打扰我的用户。
提前致谢。
答案 0 :(得分:1)
Google提供了一种verify back-end calls from an Android app方法,作为Google Play服务的一部分,可让您验证后端来电是否来自已签名的应用程序。它的一个优点是,由于用于获取身份验证令牌的客户端ID范围,因此无需用户登录来验证呼叫。