我有一个REST Web服务器,用于处理来自Android设备的请求,我在其中编写服务器和客户端代码。在这里,我想根据帐户白名单来控制和限制用户请求。例如,我接受来自任何用户的所有URL A请求,但我仅接受来自用户{admin@gmail.com,johndoe@gmail.com}的URL B请求。
当然,将用户ID作为普通json文本发送并不是理想的解决方案,因为客户端可能会被破坏。 Android中是否有更安全的机制;如设备发送登录帐户的私人信息,服务器验证用户身份?
答案 0 :(得分:0)
您可以使用第三方服务。 我推荐Backendless.com 看看这个。它是免费的,可扩展的,并具有将服务器令牌集成到其中的功能
答案 1 :(得分:0)
如果您有某种类型的身份验证系统,例如简单登录,则一种可能的解决方案可能是使用生成的令牌来表示用户会话。这样您就可以控制用户访问而无需发送敏感信息(例如用户ID),如果客户端被破坏,您只需撤销该令牌。