0

RESTful API 経由で Web サービスに接続するモバイル アプリケーションを開発しました。

ここで、WireShark を介して盗聴できる誰かによって API を保護する必要があります。URL と POST されたパラメーターを何らかの方法で非表示にする必要があるだけです...どうすればよいですか?

私のリスクは、「誰か」が私の API の URL を取得し、各リクエストの ?user_id パラメータを変更すると、別のユーザーとして行動し、悪いことをする可能性があることです...

(Oauth 2.0 は使用していません)

4

2 に答える 2

0

最初のステップは、HTTPS に切り替えることです。これにより、POST パラメータが暗号化されます。

2 番目のステップは、プロトコルを修正してユーザーを認証することです。プロトコルをリバース エンジニアリングすることは常に可能です。認証が user_id パラメータのみの場合、脆弱です。どんなに難読化してもあなたを守ることはできません。プロトコルは、許可されていないアプリケーションによる接続に対して回復力がある必要があります。

于 2012-04-06T19:04:38.653 に答える
0

これを実現する最も簡単な方法は、HTTPS を使用することです

クライアントがサーバーに接続します

クライアントとサーバーは SSL ハンドシェイクを実行します クライアントは暗号化されたものを次のように送信します

POST /resource/ HTTP1.1 

Name=Jonathan+Doe&Age=23&Formula=a+%2B+b+%3D%3D+13%25%21
于 2012-04-06T19:06:16.517 に答える