WedX - журнал о программировании и компьютерных науках

Как проверить вызовы приложений Android на сервер?

Как мы знаем. APK для Android можно декомпилировать. Даже если вы используете ProGuard, любой может видеть URL-адреса вашего сервера. У меня есть базовая схема аутентификации на моем сервере, где клиент передает AuthToken в заголовке запроса; если кому-то удастся украсть этот AuthToken, он сможет обмануть сервер.

Какую систему аутентификации я должен использовать, чтобы предотвратить это, поскольку мне нужно включить что-то (Key | AuthToken) в мой код Java (приложение не требует входа в систему).

server android security
24.08.2016

  • Привет Анил. У вас остались вопросы? не вижу твоих комментариев 29.08.2016

Ответы:


1

Вот мои указатели на эту тему.

Реверс-инжиниринг APK выполним, и ваш URL определенно подвержен атакам. Этого можно избежать, используя аутентификацию на основе токенов. Что вы уже делаете.

Как вы думаете, как кто-то может украсть токен авторизации? единственная возможность - сделать спуфинг сети. Этого можно избежать с помощью HTTPS.

Также токен не должен храниться где-либо на вашем устройстве. Он должен быть в памяти, и каждый раз, когда пользователь открывает приложение, запрашивается новый токен. Поскольку вы упомянули, что приложению не требуется вход в систему, вы можете предоставить недолговечный токен аутентификации или срок действия токена истекает на стороне сервера.

Вы также можете прочитать больше на эту тему здесь https://www.owasp.org/index.php/REST_Security_Cheat_Sheet

24.08.2016
  • Этот: This can be avoided using HTTPS немного не так. Правильный совет также должен включать and use certificate pinning. В противном случае вы все равно можете получить MITMed. 24.08.2016
  • @MarcinOrlowski Большое спасибо за подсказки. это тоже ново для меня 26.08.2016
    • Новые материалы
    Объяснение документов 02: BERT
    BERT представил двухступенчатую структуру обучения: предварительное обучение и тонкая настройка. Во время предварительного обучения модель обучается на неразмеченных данных с помощью..
    Как проанализировать работу вашего классификатора?
    Не всегда просто знать, какие показатели использовать С развитием глубокого обучения все больше и больше людей учатся обучать свой первый классификатор. Но как только вы закончите..
    Работа с цепями Маркова, часть 4 (Машинное обучение)
    Нелинейные цепи Маркова с агрегатором и их приложения (arXiv) Автор : Бар Лайт Аннотация: Изучаются свойства подкласса случайных процессов, называемых дискретными нелинейными цепями Маркова..
    Crazy Laravel Livewire упростил мне создание электронной коммерции (панель администратора и API) [Часть 3]
    Как вы сегодня, ребята? В этой части мы создадим CRUD для данных о продукте. Думаю, в этой части я не буду слишком много делиться теорией, но чаще буду делиться своим кодом. Потому что..
    Использование машинного обучения и Python для классификации 1000 сезонов новичков MLB Hitter
    Чему может научиться машина, глядя на сезоны новичков 1000 игроков MLB? Это то, что исследует это приложение. В этом процессе мы будем использовать неконтролируемое обучение, чтобы..
    Учебные заметки: создание моего первого пакета Node.js
    Это мои обучающие заметки, когда я научился создавать свой самый первый пакет Node.js, распространяемый через npm. Оглавление Глоссарий I. Новый пакет 1.1 советы по инициализации..
    Забудьте о Matplotlib: улучшите визуализацию данных с помощью умопомрачительных функций Seaborn!
    Примечание. Эта запись в блоге предполагает базовое знакомство с Python и концепциями анализа данных. Привет, энтузиасты данных! Добро пожаловать в мой блог, где я расскажу о невероятных..
    Для любых предложений по сайту: [email protected]