我们知道。 Android apk可以反编译。即使您使用ProGuard,任何人都可以看到您的服务器URL。我的服务器上有一个基本的身份验证方案,客户端在请求的标头中传递一个AuthToken;如果有人设法窃取了AuthToken,那么他们就可以欺骗服务器。
我应该使用哪种身份验证系统来防止这种情况,因为我必须在我的Java代码中包含一些东西(Key | AuthToken)(应用程序不需要登录)。
答案 0 :(得分:0)
以下是我对此主题的指示。
APK逆向工程是可行的,您的网址肯定容易受到攻击。使用基于令牌的身份验证可以避免这种情况。你已经在做什么了。
您认为有人可以窃取身份验证令牌?唯一的可能是进行网络欺骗。使用HTTPS可以避免这种情况。
此外,令牌不应存储在您设备的任何位置。它应该在内存中,并且每次用户打开应用程序请求新令牌时。由于您已经提到应用程序不需要任何登录,因此您可以提供短暂的身份验证令牌或在服务器端使令牌过期。
您还可以在https://www.owasp.org/index.php/REST_Security_Cheat_Sheet
了解有关此主题的更多信息