如何验证Android应用程序对服务器的调用?
正如我们所知。Android apk可以反编译。即使您正在使用ProGuard,任何人都可以看到您的服务器URL。我在我的服务器上有一个基本的身份验证方案,其中客户端在请求头中传递一个AuthToken;如果有人设法窃取了AuthToken,那么他们可以欺骗服务器如何验证Android应用程序对服务器的调用?,android,security,server,Android,Security,Server,正如我们所知。Android apk可以反编译。即使您正在使用ProGuard,任何人都可以看到您的服务器URL。我在我的服务器上有一个基本的身份验证方案,其中客户端在请求头中传递一个AuthToken;如果有人设法窃取了AuthToken,那么他们可以欺骗服务器 我应该使用哪种身份验证系统来防止这种情况,因为我必须在我的Java代码中包含一些东西(Key | AuthToken)(应用程序不需要登录)。以下是我在这个问题上的建议 APK反向工程是可行的,您的URL肯定容易受到攻击。这可以通过使
我应该使用哪种身份验证系统来防止这种情况,因为我必须在我的Java代码中包含一些东西(Key | AuthToken)(应用程序不需要登录)。以下是我在这个问题上的建议 APK反向工程是可行的,您的URL肯定容易受到攻击。这可以通过使用基于令牌的身份验证来避免。你已经在做了 你怎么认为有人可以偷认证令牌?唯一的可能是进行网络欺骗。使用HTTPS可以避免这种情况 此外,令牌不应存储在设备上的任何位置。它应该在内存中,并且每次用户打开应用程序时都会请求一个新令牌。由于您提到应用程序不需要任何登录,因此您可以提供一个短暂的身份验证令牌或在服务器端使令牌过期
您还可以在此处阅读有关此主题的更多信息以下是我对此主题的建议 APK反向工程是可行的,您的URL肯定容易受到攻击。这可以通过使用基于令牌的身份验证来避免。你已经在做了 你怎么认为有人可以偷认证令牌?唯一的可能是进行网络欺骗。使用HTTPS可以避免这种情况 此外,令牌不应存储在设备上的任何位置。它应该在内存中,并且每次用户打开应用程序时都会请求一个新令牌。由于您提到应用程序不需要任何登录,因此您可以提供一个短暂的身份验证令牌或在服务器端使令牌过期
您也可以在此处阅读有关此主题的更多信息此主题:
使用HTTPS可以避免此问题和使用证书固定。否则你还是会被蒙蔽的。@MarcinOrlowski非常感谢你的指点。这对我来说也是新的:使用HTTPS可以避免这一点
有点错误。适当的建议还应包括和使用证书固定。否则你还是会被蒙蔽的。@MarcinOrlowski非常感谢你的指点。这对我来说也是新的嗨,安尼尔。你还有问题吗?我看不到你的评论。你还有问题吗?我看不出你的评论