我正在构建一个可以连接到服务器的小型Android应用程序。
我的应用会使用一个简单的帖子向我的服务器发送消息,而我正在使用Google Cloud Messaging为服务器向我的应用发送消息。
我建立了注册页面,电子邮件确认和连接页面,但现在我想知道如何锁定服务器和应用程序之间的通信。
这是我想到的协议(让我们将app的简单例子带到app消息):
curl将消息转发给GCM 服务器如何确定服务器收到的名称,auth_token等是否真的来自发件人?
答案 0 :(得分:1)
让服务器在客户端进行注册时生成身份验证令牌并将其发送回客户端。服务器现在知道[客户端 - 令牌]映射。
每次客户端想要发送消息时,它还会发送服务器可以查找并检查的身份验证令牌。客户端甚至不必发送他或她的名字,服务器应该知道这一点。
要防止MITM攻击,请使用安全连接(HTTPS)。
答案 1 :(得分:1)