如何保护HTTP请求基本身份验证登录-Android？

基本上，对web服务的请求是HTTP请求。我有个小问题。我使用基本身份验证来保护它们。这是一个问题，因为代码如下：

httpGet.addHeader(BasicScheme.authenticate(
 new UsernamePasswordCredentials("user", "password"),
 "UTF-8", false));

而且，通过使用dex2jar和java反编译器，您可以找到凭据。。我也用过proguard，它似乎也不能保护它

是否有任何解决方案可以做到只有android应用程序可以使用web服务，并且用户嗅探或黑客攻击APK发现web服务URL时无法像android设备一样拨打电话

---

谢谢大家!

使用HTTPS。如果您想要安全的http通信，这确实是唯一的解决方案。任何其他东西，您都会将您的用户凭证公开给有足够兴趣查看的任何人。

使用代码模糊处理，这会使您的代码变得不可读

您可以添加证书并从后端执行许多安全操作，因为所有android代码都是可见的，就像添加多个令牌并将它们存储在应用程序的首选项中一样。 此外，每一个网络请求都要用某种算法加密，这样任何网络间谍都会消失

尝试制定一个安全程序，使用公认的方法，依靠现场随机的安全数据，而不是编译一些密钥或身份验证码之类的安全值

您还可以将一些应用程序数据下载到缓存中，缓存中包含一些apk未附带的身份验证帮助程序

---

最后，永远不要存储密码，每次都要询问用户。

加密密码怎么样？公钥和私钥方法？问题是，任何人都可以通过反编译APK来查看模糊（proguard）源代码。这样，如果他们找到密钥，就可以从源代码中复制密钥。对于一个黑客来说，这并不难做到。我已经制作了一个自签名证书并设置了SSL，但我不明白这会有什么帮助，你能解释一下吗？在反编译的APK中很容易找到webservice URL，他们只需搜索基本的身份验证登录名和密码，这些登录名和密码在模糊的源代码中也是可见的。你好，Kevin，我知道是时候解决他的问题了，但我也有同样的问题，我想知道你是如何解决的？