Java 如何保护android应用程序和Web服务器通信

我的android应用程序使用GCM发送或接收短信。首先，当用户安装我的应用程序时，它使用GCM api从谷歌获取GCM_id。在获得这个长的GCM id后，应用程序将这个id发送到我的web服务器，表示这个客户端已使用该id注册

我的问题是关于这一步。由于第一个应用程序获取GCM id并将其发送到我的web服务器，我认为，有人可以监听应用程序的请求，并为该客户端（或任何其他客户端，如果猜测我的客户端id格式）发送虚拟GCM_id。如何确保此步骤的安全，以防止不必要的中断和攻击

在创建gcm_id时，如果google在发送给客户端之前也将此id发送给我的服务器，这将是我问题的解决方案。但谷歌只直接发送给客户

---

ps：我认为使用ssl不是一个解决方案。因为它也可以由fiddler之类的程序打开。

SSL是解决方案，fiddler之类的程序可以读取数据，如果它们出现在发送数据的设备上，而不是在传输过程中。SSL听起来是唯一的解决方案。但是如果您使用fiddler跟踪，您可以查看应用程序的行为，并可以编写另一个应用程序来处理数据并将其发送到您的服务器，对吗？如果您有发送数据的设备，您可以做任何您想做的事情。您的问题可能应移到此处：