Безопасность приложений Android при доступе к веб-сервису

Question

Я создаю приложение для Android, которое должно взаимодействовать с базой данных MySQL. Приложение не предназначено для публикации, и я хочу, чтобы приложение было единственным, что может взаимодействовать с веб-сервисом, который я создам для доступа к БД.

Я думал о том, как защитить систему, и это идея, которую я придумал. Буду признателен за любые отзывы или другие идеи. Конечно, есть метод, встроенный в Android, о котором я не знаю.

Я думаю дать GUID веб-сервису. Каждый раз, когда вызывается один из его открытых методов, веб-служба сопоставляет свой GUID с GUID, данным ему приложением Android. Если идентификаторы GUID не совпадают, веб-служба отказывает в доступе. Короче говоря, моя система имеет 128-битный пароль.

Answer 1

Если вы доверяете человеку административной вашей базе данных, то все должно быть хорошо. Наиболее важным изменением является то, что все это взаимодействие должно осуществляться через HTTPS. Если хакер увидит этот трафик, ваша база данных будет взломана.

Я бы все еще использовал комбо имя пользователя / пароль для доступа к системе. Я рекомендую использовать существующую таблицу mysql.users с функцией MySQL password(). Этот GUID звучит идентично куки-файлу, и я бы серьезно подумал об использовании существующей системы обработки сеансов, такой как php session_start(), вместо того, чтобы использовать собственную. Повторно изобретать волюшку плохо, особенно когда речь идет о безопасности.