无论编程语言如何
我有一个客户端服务器应用程序。
移动客户端 - http服务器
该应用程序将在几个手机上提供,不仅仅是android。
我想确保请求仅来自客户端的移动设备。
如何解决此安全问题?
我建议:
在移动应用上有一个密码硬密码:
每个请求都使用此密钥加密,并在服务器端解密。
如果这种方式有意义,那么对密钥进行硬编码是否安全? (反编译器可以获得密钥?该应用程序不仅可用于Android!)
额外信息:
每个用户都有一个用户ID /用户名...
答案 0 :(得分:3)
不要将加密密钥(或任何其他需要保密的密码)放入移动应用程序中,然后依赖它们。这是一个严重的缺陷。
密钥可以进行逆向工程,实际上有几家大公司犯了这个错误。谷歌“twitter oauth key妥协”。