Sto lavorando su un sito Web per il quale spero di avere un'applicazione per pure. Per questo motivo, sto creando API PHP che entreranno nel mio Database e forniranno dati specifici basati sul metodo / funzione chiamato.
Tuttavia, voglio proteggere queste API dall'uso improprio e ho intenzione di implementare l'Autenticazione Digest per farlo. Tuttavia uno dei sistemi operativi che voglio supportare è Android. E so che un utente malintenzionato sarebbe in grado di decodificare l'app per Android e capire il mio schema di autenticazione.
Mi chiedo:
- C'è un modo migliore per proteggere queste API dall'uso improprio?
- C'è un modo per impedire a un utente malintenzionato di decodificare l'app e potenzialmente di vederne il codice sorgente, consentendo loro di vedere il mio schema di autenticazione?
- Se nessuno di questi è prevenibile, allora è la mia unica opzione per avere un nome utente / password cred in modo specifico per l'app per Android, e quando alla fine viene violato, cambia i crediti ed emetti un aggiornamento per l'app?