如何在Ruby和Android应用程序之间加密和解密数据？

Question

我一直在使用Ruby on Rails开发一个Web服务器应用程序，并且使用Android开发一个客户端应用程序。 Web服务器有一些路由到客户端访问，没有身份验证。我想创建一个令牌来验证请求是否来自客户端。我想这样一个解决方案：

1. 创建一个键，例如，“计算器;
2. 分享此键在客户端和服务器应用程序;
3. 使用AES加密与生成令牌生成随机字符串函数+键;
4. 当客户端应用程序被发送到服务器的请求，也送所生成的令牌;如果令牌是有效的或不使用所述共享密钥和AES加密
5. 服务器验证

。

这里是我的疑惑：

1. 这是发展它们之间的通信的最佳方式？
2. 是否有gem/api crypt和解密在两个系统中使用？

请不要犹豫来形容建议或例子来引导我=）

在此先感谢

Answer 1

一个更加安全和标准的方式是使用SSL客户端证书。

为每个新版本的应用程序发布一个客户端证书，确保它使用只有您或您的签名CA拥有私钥的证书（即CA证书）进行签名。

在允许连接之前设置您的Web服务器以要求客户端证书。设置Web服务器以再次验证您持有的CA证书的证书。

这种方式没有“共享的秘密”，可以从您的应用程序中提取。如果有人提取并窃取客户端证书，请使用新证书发布应用的更新版本，然后将旧证书添加到您的CA撤销列表中，或者仅告诉Web服务器阻止该证书。

没有红宝石，Java或JavaScript代码要写。