Autenticazione PHP HTTP e Android

2

Sto lavorando su un sito Web per il quale spero di avere un'applicazione per pure. Per questo motivo, sto creando API PHP che entreranno nel mio Database e forniranno dati specifici basati sul metodo / funzione chiamato.

Tuttavia, voglio proteggere queste API dall'uso improprio e ho intenzione di implementare l'Autenticazione Digest per farlo. Tuttavia uno dei sistemi operativi che voglio supportare è Android. E so che un utente malintenzionato sarebbe in grado di decodificare l'app per Android e capire il mio schema di autenticazione.

Mi chiedo:

  1. C'è un modo migliore per proteggere queste API dall'uso improprio?
  2. C'è un modo per impedire a un utente malintenzionato di decodificare l'app e potenzialmente di vederne il codice sorgente, consentendo loro di vedere il mio schema di autenticazione?
  3. Se nessuno di questi è prevenibile, allora è la mia unica opzione per avere un nome utente / password cred in modo specifico per l'app per Android, e quando alla fine viene violato, cambia i crediti ed emetti un aggiornamento per l'app?
posta edc598 04.06.2012 - 23:24
fonte

1 risposta

1

Secondo me, parlando dell'autenticazione, puoi dare un'occhiata a OAuth | link .

Recentemente ho implementato un servizio RESTful ( utilizzando altri tech , .NET / NancyFX). Nel mio caso l'app mobile ha bisogno di accedere a contenuti pubblici disponibili (lo stesso pubblicato nel sito web companion ). In un caso come il mio, la vera preoccupazione non era la sicurezza, ma una sorta di abuso.

Ho protetto il mio servizio utilizzando una chiave API : http://yourhost.com/api/{api-key}/xyz . Le chiavi valide sono archiviate in un repository persistente (nel mio caso un'istanza mysql) e controllate su ogni richiesta. Questo ha funzionato alla grande per me.

Potresti anche trovarlo utile | link .

    
risposta data 05.06.2012 - 19:39
fonte

Leggi altre domande sui tag