リモートのPHP/MySqlサーバーで自分自身を認証するようにユーザーに求めるAndroidクラウドアプリを構築しています。今のところ、私は基本的なhttppostリクエストを使用しています。誰もが通信を盗聴して資格情報を盗む可能性があるため、これは危険であると理解しています。これを解決するためにhttps/SSLを使用する以外の解決策はありますか?
SSLを使用する必要がある場合、ユーザーがサーバーに接続するたびにSSLを介してユーザーの資格情報を再送信する必要がないように使用できるセッション管理ライブラリはありますか?
この答えはあなたを助けるはずです。そこにいくつかの良い答えがあります。簡単に言えば、いくつかのオプションがありますが、それでも SSL を使用するのが最善です。
安全な認証を取得したとしても、他のすべてのものは依然としてスニッフィングに対して脆弱であることに注意してください. HTML ファイルは、機密情報を含む可能性があるプレーン テキストで返送されます。SSL は、このジョブ専用に作成されています。
クレデンシャルを再送信する必要はありません。SSL はかなり透過的な「プラグ アンド プレイ」です。
PHPSESSID ( のデフォルトsession_start()) を使用して、ユーザーを追跡します。