0

Android アプリで使用される Web API アプリケーションを作成します。Android アプリのみが API を使用できるように、この公開 API を保護したいと考えています。

転送されるデータは実際には機密ではないため、HTTPS を使用しないことをお勧めします。サインインも必要ないため、正当なアプリが呼び出しを行っていることを確認する限り問題ありません。

アプリと API の間で一種の機密データを共有することを考えていましたが、Android 開発者は、アプリに入力したデータは悪意のある人が取得できると言っています。さらに、そのデータを HTTP 経由で転送するのは安全ではありません。

できれば HTTPS を使用する必要のない解決策を誰かが手伝ってくれるかどうか知りたいですか?

4

2 に答える 2

1

誰かがデバイスのアプリ ソースから共有シークレットを復元できる可能性があることは間違いありません。また、トランスポート層セキュリティ (TLS/SSL) を使用せずにやりたいことを行う方法もありません。秘密を平文で送信するとすぐに、それは秘密ではなくなります。

ここでこれを適切に行う方法についての良いアドバイスがあります: http://android-developers.blogspot.in/2013/01/verifying-back-end-calls-from-android.html

「中間者があなたのトークンをのぞき見るのを防ぐために、絶対に HTTPS 接続を使用する必要があります。」ページ自体からの強調。

于 2013-09-16T07:34:24.650 に答える