我开发了一个Android应用程序,以及我的后端服务器。
服务器正在为应用程序调用提供REST-ful服务。一些问题..
1)这是正确的做事方式吗?说..用户登录,通过REST获取他的收件箱消息等?
2)如何安全沟通?所以,如果有人知道这些URL,他们就可以攻击这些服务。
谢谢!
答案 0 :(得分:1)
1)这是正确的做事方式吗?说..用户登录,通过REST获取他的收件箱消息等?
我不会说有一种“正确”的方式,而是多种方式,每种方式各有利弊。没有额外的细节,听起来好像你走在正确的轨道上。
2)如何安全通信?因此,如果知道URL的任何人,他们可以攻击服务。
真正唯一的方法是使用HTTPS。 URL可以通过Web公开访问,使人们能够攻击它们。这与任何其他站点/服务,REST或SOAP没有太大区别。我不知道是否有办法真正锁定只有设备的流量,可能会注册设备ID并在每次请求时都需要它?这仍然不会阻止攻击,但可能是减少一些噪音的简单方法。