我正在草拟一个Android应用程序连接到Web上的REST API的解决方案。用户应该能够创建配置文件,然后在该配置文件上执行某些请求(更改名称,电子邮件等)。搜索类似的问题,从大部分答案中得出私有/公钥解决方案的建议。
这家伙很好地解释了这个程序: http://www.thebuzzmedia.com/designing-a-secure-rest-api-without-oauth-authentication/
此过程完全取决于私钥确实是私有的先决条件。我没有找到解决这个问题的任何答案。但是,如果服务器和客户端具有具有相同的私钥,那么它必须在某个时刻在双方之间进行转移,这将不可避免地将其暴露给观看流量的人。那么在双方之间建立相同的私钥是否有安全的方法?
另一个问题,当客户端(安全地)获取私钥时,应该如何存储?共享首选项之类的东西足够安全吗?我担心的是,具有root权限的人可以轻松访问它。