我正在构建一个需要与MySQL数据库通信的Android应用程序。该应用程序不打算发布,我希望应用程序是唯一允许与我将为数据库访问创建的Web服务接口的东西。
我一直在想如何保护系统,这就是我想出来的想法。我很感激任何反馈或其他想法。当然,Android中内置了一种我不知道的方法。
我的想法是为Web服务提供GUID。每次调用其中一个公共方法时,Web服务都会将其GUID与Android应用程序为其提供的GUID进行匹配。如果GUID不匹配,则Web服务拒绝访问。简而言之,我的系统有一个128位密码。
答案 0 :(得分:0)
如果您信任个人管理您的数据库,那么一切都应该没问题。最重要的变化是所有这些通信都必须通过HTTPS完成。如果黑客看到此流量,您的数据库将被黑客入侵。
我仍然会使用用户名/密码组合来访问系统。我建议使用现有的mysql.users表和MySQL password()函数。这个GUID听起来与cookie相同,我会认真考虑使用现有的会话处理系统,如php session_start(),而不是自己动手。重新发明风暴是不好的,特别是在安全方面。