我有一个Android应用程序,它将http POST请求发送到服务器以修改数据。在此请求中,将发送用户和设备ID,以验证用户确实正在使用他们登录的设备。
但是,这意味着任何拥有某个设备ID及其用户ID的人都可以发送请求并修改数据。
我应该如何使通信更安全,并添加请求来自我的应用的验证?
我不能只添加带有静态值的随机标头,因为标头很容易添加到cURL请求中。
答案 0 :(得分:0)
在您的服务器中实施OAuth并生成一个消费者密钥和密钥(特定于应用),这对您的应用是唯一的,并且使用消费者密钥和秘密您的应用将首先生成请求令牌,它将交换请求令牌以用于访问令牌。
现在您可以访问受保护的资源。
有一些库可以简化此过程,您可以在此链接中查看客户端和服务器端库https://oauth.net/code/#client-libraries
OAuth1.0a https://oauth.net/core/1.0a/
(最新)OAuth 2.0 https://oauth.net/2/