2

これが私がRailsサーバーとAndroidについて考えていることです。次の手順に意味がある場合はお知らせください。

最初に、Androidアプリを初めて起動するときに、ユーザーは自分のメールアドレスとパスワードを入力します。

次に、アプリはRailsサーバーに対してユーザーの認証を要求し、サーバーはトークンで応答します(トークン認証の場合)。

アプリはトークンを保存し、後続のリクエストのためにトークンを添付します。(例: http: //myServerUrl.com/books/list?auth_token :xxxx )そして、サーバーはトークンがユーザーテーブルであるかどうかを確認し、資格データをJSON形式でアプリに送り返します。

私の質問は、

  • 初めて、HTML本文にメールアドレスとパスワードを入力してサーバーにリクエストがあった場合(POSTの場合)、安全ですか?ユーザーがwifiを使用している場合、プレーンテキスト全体が公開されます。サーバーに電子メールとパスワードを送信する安全な方法はありますか?SSLまたは非対称暗号またはHTTPSが必要ですか?
  • サーバーから認証トークンを受信した後、アプリは後続のリクエストのためにそのトークンを添付します。つまり、認証トークンはプレーンテキストとしても公開されます。リクエストを行うための安全な方法はありますか?誰かが1つの完全な要求をダンプしてサーバーに送信した場合、サーバーはそれが有効な要求であるかどうかをどのように知ることができますか?

私はrorとandroidアプリにかなり慣れていないので、どんな助けでも私の痛みを大いに解放します。

4

1 に答える 1

0

思いついたのかな…

まず、Android アプリは、電子メールとパスワードでサインインする必要があります。サーバーは認証トークンで応答します。

アプリはトークンを使用して資格情報データにアクセスしますが、リクエストは HTTPS として送信する必要があります。

Jav_Rock は、すべての接続が HTTPS で処理されるというコメントを書きました。HTTP と比較して、HTTPS 接続が適切な速度を提供するかどうかをテストする予定です。応答時間が重要な場合、HTTPS はアプリの速度を低下させる可能性があります。

HTTPS をテストしたら、再度投稿します。

于 2012-10-06T05:06:31.000 に答える