サーバーの購入に関する更新を送信する Android アプリケーションがあります。私が今行っていることは、サーバー側と Android クライアント側で同じキー ジェネレーターを使用して、購入とその他の共有の詳細を MD5 に暗号化することです。しかし、誰かが APK ファイルをデコードした場合、その人はキーを生成することで簡単に呼び出しを行うことができます。この種の攻撃を防ぐ最善の方法は何ですか?
質問する
161 次
3 に答える
0
私の問題は基本的にアプリ内購入でサーバーを更新することでしたが、サーバー側で公開鍵/秘密鍵認証を行うことになりました。Androidはクライアントでレシートを確認することを提案していますが、レシートをサーバーに転送し、公開鍵を使用してそこで検証を行いました。
于 2012-12-17T14:26:21.420 に答える
0
最善の解決策は、POSTメソッドでサーバーと通信するために毎回使用するアクセスキー(アクセスキーを取得するたびに変更されます)を返すWebサービスを実装することです。これは最も安全な方法であり、Facebook、Twitterなどのすべての優れたサイトで使用されています。
于 2012-11-29T09:07:56.630 に答える
0
転送中のデータを保護するために、HTTPS を使用してサーバーと通信します。安全なプロトコルを発明しようとしないでください。サーバー API へのアクセスを制限したい場合は、なんらかの形式の認証を使用します: ユーザー名とパスワード (HTTPS 経由)、または何らかの認証トークン (OAuth など) を使用することをお勧めします。キーやパスワードを APK 内に保存すると、誰でも APK を逆コンパイルしてそれらを抽出できます。これを防ぎたい場合は、トークンの有効期限が切れ、侵害された場合に無効にできるトークン認証を使用する必要があります。
于 2012-11-30T02:22:44.447 に答える