Question

Когда пользователь входит в систему из моего приложения, я получаю идентификатор пользователя от API при успешном входе в систему. Затем этот идентификатор используется во всем приложении для взаимодействия с API. В настоящее время я сохраняю этот идентификатор в общих настройках. Однако пользователь с доступом root может легко изменить идентификатор, таким образом идентифицировав себя как другого человека, которым он не является.

Как мне сохранить этот идентификатор, не создавая угрозы безопасности? Если это невозможно, какие другие альтернативы этому?

chaos · Answer 1 · 13 июля 2020

Похоже, проблема в основном в том, что ваше приложение доверяет пользователю сообщать приложению, кто они, через этот идентификатор пользователя. То, что ваше приложение, скорее всего, должно возвращать и передавать обратно в приложение для использования API, - это криптографический токен сеанса, который приложение знает, как распаковать для определения личности пользователя, но у пользователя нет возможности изменить его, не сделав его недействительным.

Как надежно сохранить идентификатор пользователя?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Как надежно сохранить идентификатор пользователя?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы