保护服务器端页面的移动应用程序

Question

我正在构建一个需要服务器端处理的移动应用程序。我已经使用LAMP创建了服务器端，应用程序使用URL来调用各自的PHP页面来请求数据。例如注册我创建了signup.php和应用程序调用signup.php来验证应用程序的登录凭据。我也有PHP脚本来说拉产品信息的用户正在请求的产品。目前这些PHP页面可以公开访问，即使它们会返回一个空白页面。但是，如何确保这些PHP页面仅可用于我的移动应用程序？我如何使它更安全？

此外，手机上的用户只需注册一次。一旦注册，他会一直保持登录状态，直到他卸载该应用程序。

Answer 1

你可以做什么，是每个设备认证。当用户在应用程序中注册时，应用程序使用凭据向服务器发送请求。如果凭证正常，则生成一个唯一的散列。您可以将此散列存储在用户附近 - 直接存储到用户表或关联的表（取决于是否允许多个设备签名给一个用户）。这个散列将随着每个请求发送到服务器。根据哈希查找用户，并知道您正在处理的是谁。

这个散列可以在一段时间内重新生成（您向设备发送新的散列并再次存储它）。

此外，您可以使用某个秘密密钥为每个请求创建一个校验和。你也可以在服务器上创建校验和并进行比较。请注意，如果密钥存储在代码中，任何人都可以得到它。该密钥也可以从服务器发送。

这可能很明显，服务器应该在HTTPS上。