所以我对Java和Android开发都很陌生,但是当我通过Google登录我的应用程序时,我以某种方式设法获得了成功的idToken。
我在Android开发网站上看到只是ID不安全,因为修改后的客户端可能会发送假冒的并导致冒充其他用户,所以我按照他们的步骤获取用户的idToken。
无论如何,通过URL发送到家里的服务器是否安全?例如,像这样(假装长串的随机文本是用户的idToken):
http://130.155.122.8/api_test/h78e568e7g6589gjkdfhjghdjfkghjkdfhgjkdfhk7hg9867458g74598hg6745896gh49/command
另外,idToken是否需要?我是否可以轻松地使用用户的电子邮件地址来识别用户(同样,它将通过不安全的URL发送,而不是HTTPS)?
谢谢!
答案 0 :(得分:1)
一般来说 - 不。
标识您的令牌永远不应通过不安全的连接(例如http)传输。由于在此类连接上未使用加密,因此第三方可以非常轻松地监控连接并获取令牌(导致模拟问题)。
IANAE,但任何与安全相关的数据(例如idToken或密码)都只能通过安全(加密)连接(例如https)传输。
使用电子邮件地址无法解决问题。您只需为另一个标识符替换一个标识符。如果有人知道用户的电子邮件地址,他可以冒充用户。坚持"记录"认证技术。如果做得好,他们应该是安全的。
答案 1 :(得分:1)
你应该使用加密,如果有人从用户那里得到令牌,他们可以模仿那个用户,在我的情况下,因为我不能aford ssl(现在)我用非对称加密加密令牌,然后我把它发送到服务器,但ssl是最好的方式