我有一个android应用程序和一个php服务器。我发送了一些请求,例如我的应用程序所要求的登录和其他请求参数;并且服务器发送回应用程序中显示的json。从android应用程序到服务器的请求安全
我的问题是如何防止其他用户通过浏览器访问网址并获得结果? 此外,大多数请求只应在用户登录时执行。这是在应用程序中处理的,但在apis中如何处理?我可以发送一个授权令牌,以便与其他请求一起发送,但通过浏览器调用登录API,然后将该登录令牌与其他apis一起发送,可以获得相同的令牌。如何处理这些情况并通过应用程序以外的方法阻止访问以获取数据? 而且在android应用程序的情况下,我是否会从应用程序发送加密的登录密码?还是应该在服务器上加密,然后存储在数据库中?
这可能是一个非常天真的问题,但我无法在SO上找到现有的问题。附:我知道PHP的Apache服务器不是最好的选择,但客户端有一个现有的PHP服务器与APIS准备好,他想在应用程序中使用相同的。
从来没有这么做过,但我会做的是使该应用程序的授权令牌,并将其发送给每个请求,以查看它是否来自您的应用程序,只允许从应用程序进行访问。对于只在认证时允许请求,我会使用在成功认证时发回的认证令牌。并使用https。不要拿我的话来说,这只是我会做的。 – Maantje