在我的服务器上,我需要确保仅接收来自Android设备的连接。 这可能吗?要存储客户端证书在定制android组装,这是抵抗生根?或者我可以在根植设备上完全隐藏任何东西?并且无法通过任何方式避免生根(前者提供我自己的android组装固件)?因为即使我设置了程序根检查 - 应用程序可以通过3D方重建以避免此检查。任何有用的想法赞赏。 Thx提前。仅通过设备的Android客户端证书授权
0
A
回答
0
1)OAuth2
是认证和授权协议,它被大型甚至更小的公司广泛使用。想想Facebook API。如果用户没有身份验证或无权进行该呼叫,则可以删除入站请求。这是一种方法。
2)第二种方法是将您自己的用户代理添加到您的HTTP标头和其他自定义HTTP标头。如果您的服务器检查这些标头,则可以删除入站请求。
您不必在客户端上存储SSL证书,因为客户端将启动与具有SSL证书的服务器的安全连接。
无论如何,使用证书客户端可以很好地加密数据,但我不相信Android Java支持这一点。如我错了请纠正我。如果您确实碰巧使用该密钥加密数据,则可以加密某个字符串或多个字节,您可以将其解析为您的一个自定义HTTP标头,但是如果有人发现加密的字符串是什么,他/她仍然可以伪造一个连接。不过,我不建议将您的SSL证书存储在客户端的设备上。
不管你可能会做什么,总有一个办法是假像它的HTTP/HTTPS连接的FROM Android设备来,但你可以使用这两种方法缩小传入的HTTPS请求,并使其更难。一个例子是PokémonGO。 GitHub上有很多非官方的API可以伪造来自官方应用程序的连接。
相关问题
- 1. Apache,SSL客户端证书,LDAP授权
- 2. 通过证书授权
- 3. Android Webview客户端证书和Http授权
- 4. 发送客户端授权证书的HTTPS网站 - Python的
- 5. 使用客户端证书的iPhone https授权
- 6. Android客户端证书403
- 7. Android和客户端证书
- 8. OAuth2:JWT授权授权和客户端凭证授权与JWT客户端认证有什么区别?
- 9. 在Android设备上生成客户端证书
- 10. 的客户端SSL授权
- 11. Firebase Android客户端失去授权
- 12. WCF证书身份验证仅服务(无客户端证书)
- 13. 客户端证书
- 14. 客户端证书
- 15. Python SOAP客户端,授权
- 16. 授权给Google客户端
- 17. 为Android客户端提供电话授权签名证书或自己的Web服务证书
- 18. 验证客户端证书
- 19. 客户端证书认证
- 20. 通过证书认证的ActiveMQ和客户端身份
- 21. 玩!框架2 Android客户端REST身份验证和授权
- 22. 在没有客户端证书的情况下通过Tcp使用Wcf SSl证书(仅服务器端)
- 23. 客户端的SSL证书
- 24. JxBrowser的客户端证书
- 25. SSL设置:忽略客户端证书
- 26. 在Android客户端使用证书
- 27. android webview与客户端证书
- 28. GAE通过证书Python2.7客户端身份验证
- 29. 通过证书进行Oracle SOA客户端身份验证
- 30. 通过HTTPS客户端证书验证WCF请求
你在说什么样的连接?套接字(TCP)或HTTP甚至?有一些方法可以让黑客用虚假来源与Android设备建立不同的连接,例如通过自己的握手来实现一个协议,如果握手失败,那么在连接完成之前立即删除连接。对于HTTP,还有其他方法可以完成此握手方法。 因此,知道你在谈论什么样的连接很重要。 – kevto
Ssl。证书意味着https。 – AlexInspired
不完全。 SSL证书也可用于安全套接字连接。但是,感谢这些信息,如果我是你,我会更新你的问题,其余的是通过HTTPS完成通信。 – kevto