此时我已经编写了一个在android平台上使用的程序,用户可以在其中查看有关未结账单的信息(私人个人信息)。
此时我要求在办公室进行某种正式登记。
我想改进注册部分,并想知道我是否可以实现api密钥的使用。在这种情况下,人们不需要在某个办公室正式注册,但可以从Playstore下载应用程序。
目前,该应用程序向服务器发送请求(此时我使用用户名和密码)。
我阅读并搜索了有关api key's以及如何implement这些信息的信息。但它仍然令人困惑。
此时程序的代码无关紧要,因为我还不确定api键的使用,并且此时正常工作。 我似乎无法找到适合以下的答案。
每个移动设备在安装/下载或公开时都应该拥有自己的私有API密钥吗?
哦,为了它,我正在使用带有mariadb的laravel 5.1(并不是说它在答案中很重要)。
答案 0 :(得分:1)
每个移动设备都应该拥有自己的api密钥,因为如果黑客要获取每个人使用的公钥,那么在您更改密钥并更新应用程序之前,所有客户都将面临风险。< / p>
私钥应该在安装后发送到设备,因为黑客可以从手机下载应用程序apk文件,解压缩它,并查看内部找到用于创建密钥的密钥或代码。
两种类型的身份验证为您提供了另一层安全性,因此您应该使用它。
通过互联网发送api密钥时也要小心。黑客可以使用代理来读取在其设备和服务器之间传输的数据。所以我会使用HTTPS并正确使用它。
http://www.androidauthority.com/how-to-hide-your-api-key-in-android-600583/