所以我都是Java的新手和Android开发人员,但是我通过Google登录我的应用程序时设法获得了成功的idToken。idToken是否安全地通过API的非安全URL发送?
我在Android开发网站上看到,只是ID不安全,因为修改后的客户端可能会发送一个伪造的消息,并导致其他用户模拟,所以我按照他们的步骤获取用户的idToken。
无论如何,这是安全的发送到我的服务器在家里的URL?例如,像这样(假装随机文本的长字符串是用户的idToken):
http://130.155.122.8/api_test/h78e568e7g6589gjkdfhjghdjfkghjkdfhgjkdfhk7hg9867458g74598hg6745896gh49/command
而且,在idToken甚至要求?我是否可以轻松地使用用户的电子邮件地址来识别用户(同样,它将通过不安全的URL发送,而不是HTTPS)?
谢谢!
嗯,非对称加密似乎是一个很好的解决方案。谢谢 –
看看这个,http://stackoverflow.com/questions/38938950/comunicate-with-backend-server-securely,这不是最好的办法,但它会加密用户令牌,确保你保存私钥在安全的地方 –
我实际上正在运行一个Python服务器。你知道如何用Java加密并用Python解密吗? –