客户端 – 服务器安全性和认证
无论编程语言如何
我有一个客户端服务器应用程序
移动客户端 – http服务器
该应用程序将在几个手机上提供,不仅仅是android。
我想确保请求仅来自客户端的移动设备。
我该如何解决这个安全问题?
我提议 :
在移动应用上有一个硬编码的密钥:
每个请求都使用此密钥加密,并在服务器端解密。
如果这种方式有意义,那么对密钥进行硬编码是否安全? (反编译器可以获得密钥?该应用程序不仅适用于Android!)
额外信息:
每个用户都有一个用户名/用户名…
不要将加密密钥(或任何其他需要保密的密钥)放入移动应用程序中,然后依赖它们。 这是一个严重的缺陷。
关键可以是逆向工程,事实上几家大公司都犯了这个错误。 谷歌“twitter oauth key妥协”。