Java MobileApps安全问题

首先，我有一个非常有说服力的问题。但这与代码级别无关，只是让我衡量一下自己的理解。如果我错了，请纠正我，现在MobileApps根据设计使用会话令牌方法进行请求

目前，用户将首次从后端传入加密值的deviceID、pin和时间戳。随后，前端系统将发送此参数以请求并获得响应成功。令牌的过期日期为30分钟

在最近的一次事件中，黑客能够通过欺骗来操纵来自脚本的请求。因此，黑客们模仿的行为与mobileapps相同。我们如何应对这种情况？有没有办法阻止此类请求？

令牌方法 如果我错了，请纠正我，现在MobileApps根据设计使用会话令牌方法进行请求

我认为您指的是OAUTH2或OpenID令牌

OAuth2.0关注于客户端开发人员的简单性，同时为web应用程序、桌面应用程序、移动电话和客厅设备提供特定的授权流

OpenID Connect 1.0是OAuth 2.0协议之上的一个简单标识层。它允许客户端基于授权服务器执行的身份验证来验证最终用户的身份，并以可互操作和类似REST的方式获取有关最终用户的基本配置文件信息

OpenID Connect允许所有类型的客户端（包括基于Web的客户端、移动客户端和JavaScript客户端）请求和接收有关经过身份验证的会话和最终用户的信息。规范套件是可扩展的，允许参与者使用可选功能，如身份数据加密、OpenID提供程序发现和会话管理（如果对他们有意义的话）

将移动应用程序标识添加到API 目前，用户将首次从后端传入加密值的deviceID、pin和时间戳。随后，前端系统将发送此参数以请求并获得响应成功。令牌的过期日期为30分钟

通常，开发人员使用通常称为

API密钥

的秘密或某种命名令牌

*-token

将移动设备标识到API服务器。无论使用何种约定名称，此is标识符始终是一个秘密，有时是用于标识移动应用程序的简单唯一字符串，有时更复杂，就像您的情况一样

在最近的一次事件中，黑客能够通过欺骗来操纵来自脚本的请求

问题在于，在客户端运行的任何东西都可以进行反向工程 很容易被他控制的设备上的攻击者攻击。他将使用诸如或之类的自省框架在运行时拦截移动应用程序的运行代码，或者使用诸如MiTM之类的代理工具来监视移动应用程序和API服务器之间的通信。通常情况下，他们对移动应用程序进行反向工程的第一步是使用对移动应用程序的二进制文件进行反向工程，以提取所有静态机密并识别攻击向量

将您自己的脚本注入黑盒进程。钩住任何函数，监视加密API或跟踪私有应用程序代码，无需源代码。编辑，点击保存，并立即查看结果。所有这些都没有编译步骤或程序重新启动

Xposed是一个模块框架，可以在不接触任何apk的情况下更改系统和应用程序的行为。这很好，因为这意味着模块可以在不做任何更改的情况下为不同版本甚至ROM工作（只要原始代码没有太多更改）。它也很容易撤销

Mobile Security Framework是一个自动化的多功能移动应用程序（Android/iOS/Windows）笔式测试框架，能够执行静态分析、动态分析、恶意软件分析和web API测试

为渗透测试人员和软件开发人员提供的一种交互式TLS，能够拦截HTTP代理

因此，在使用所有这些工具后，攻击者有可能重播您的移动应用程序从API服务器获取令牌的所有步骤，然后使用这些步骤自动对API服务器进行攻击

可能的解决办法 因此，黑客们模仿的行为与mobileapps相同。我们如何应对这种情况？有没有办法阻止这种请求

因此，任何在客户端运行并且需要一些秘密才能访问API的东西都可能以不同的方式被滥用，并且您可以了解更多关于移动API安全技术的文章。本文将教您如何使用API密钥、用户访问令牌、HMAC、TLS固定来保护API，以及如何绕过它们

通过使用移动应用程序认证解决方案，可以使用更好的解决方案，以使API服务器知道仅接收来自正版移动应用程序的请求

移动应用程序认证服务将通过在后台运行SDK（不影响用户体验），在运行时保证您的移动应用程序未被篡改或未在根目录/越狱设备中运行，它将与云中运行的服务进行通信，以证明移动应用程序和设备运行的完整性

在成功认证移动应用完整性后，将发布一个短时间有效的JWT令牌，并使用一个只有API服务器和云中的移动应用认证服务知道的秘密进行签名。在移动应用程序认证失败的情况下，JWT令牌使用API服务器不知道的秘密进行签名

现在，应用程序必须在每次API调用时发送请求头中的JWT令牌。这将允许API服务器仅在能够验证JWT令牌中的签名和过期时间并拒绝它们时才为请求提供服务