Android 服务器端安全

作为开源Android项目的一部分，我有一个非常简单的web服务器，在AmazonEC2上运行cherrypy。我们正在考虑将拍照组件集成到应用程序中。这些数据将存储在服务器上，并提供给其他客户端

此时，应用程序是匿名的——发布信息不需要登录。我可能会发现自己经常拍照，因为应用程序受到了控制吗？或者我可以依靠一个悬挂机制来处理这种情况吗？我从未实现过这样的事情，我不知道会发生什么

---

我想听听任何构建了这样一个服务的人的意见，他们对向公众开放这样一个服务需要做些什么有一些想法。

如果你在互联网上公开一个允许上传和共享图像而不需要身份验证的端点，你可能会遇到问题。事实上，即使您需要身份验证，也可能会遇到问题

我肯定需要某种形式的身份验证，至少在应用程序级别。如果你真的不想让用户处理它，你可以生成一个GUID或其他东西来至少识别已经上传的图像。从攻击者的角度来看，这很容易被击败，但如果用户被视为垃圾邮件用户，则可以使用它删除单个“用户”上传的内容

您还可以实施一些速率限制，不允许用户在短时间内上传大量图像。您还可以限制查看图像的次数

---

基本上，像垃圾邮件发送者/攻击者一样思考。他们是否可以使用您的服务上传可用于垃圾邮件活动的图像？他们会用它向你的用户发送垃圾邮件吗？如果答案是肯定的，那么您需要为此提供保护。

我想补充一点，您可以检查服务器端的图像，以确保它们是一致的，而不是某种脚本。。。