我计划开发一个Android应用程序,该应用程序将向在Google App Engine上托管的REST API(服务器应用程序)发出HTTP请求。数据检索对于应用程序的所有用户来说都是常见且可见的,因此用户级别的身份验证似乎并不是必需的。我担心的是,服务器应用程序是否有必要验证请求是否确实来自预期的Android应用程序?如果是这样,这是由库内部完成还是我需要自己实现?关于这个主题的一些阅读材料将非常有用。
浏览Google文档表明使用服务帐户似乎是合适的,但是我不得不将凭证和Android应用程序打包在一起,这有点似乎打败了验证的目的请求,因为从apk中检索凭据相对容易。
非常感谢任何有关设计的指导。
答案 0 :(得分:0)
似乎API Keys就是答案。在创建过程中,可以选择API密钥限制为某个Android应用程序。