Защита моих запросов REST в Android?

Question

У меня есть серверный скрипт, который получает некоторые данные, которые использует мое приложение.Естественно, я не хочу, чтобы кто-то еще имел доступ к данным, кроме моего приложения.Я слышал, что можно увидеть, к какому URL подключается устройство при использовании определенного программного обеспечения.Как я могу запретить этим программам видеть URL, на которые я звоню?Или есть лучший способ защиты запросов?

Единственное, о чем я могу думать, это использовать ключ пароля в URL (и проверить, совпадает ли он на стороне сервера):

http://example.com/getdata?key=897ihrduiuyqewudiew&get=something

но этого, вероятно, недостаточно для безопасной аутентификации.И программы-снифферы все еще могут получить этот URL.Любой простой способ сделать это более безопасно?

Answer 1

Мало что можно сделать, чтобы защитить запросы сервера.Кто-то всегда сможет увидеть URL-адреса, к которым обращается ваше приложение, и использование пароля в строке запроса не поможет.Для защиты вашего приложения вам нужно использовать HTTPS и некоторую форму аутентификации.Для подключения пользователю потребуется указать имя пользователя и пароль.

Answer 2

Если я вас правильно понимаю, вам следует внедрить взаимную аутентификацию .В основном, у вас есть сертификаты как на вашем клиенте, так и на сервере.Когда на сервер делается запрос, сервер проверяет, что запрос подписан известным клиентом.

Таким образом, даже если сниффер знает URL-адрес и пытается отправить тот же запрос на сервер, он будет отклонен , поскольку он не подписан известным клиентом .Я также новичок в этом, но это общая концепция.Этот блог имеет основные шаги.

• http://blog.callistaenterprise.se/2011/11/24/creating-self-signed-certificates-for-use-on-android/
• http://blog.callistaenterprise.se/2011/11/24/android-tlsssl-mutual-authentication/

Answer 3

Самый простой способ - использовать HTTPS.Таким образом, сниффер может знать только сервер, к которому вы подключаетесь.

Существуют и другие методы, которые используют сложный вызов, чтобы уникальный ключ действовал только в течение короткого периода времени / одного запросакак WSSE (см. эту статью http://www.xml.com/pub/a/2003/12/17/dive.html)