php– 如何验证是否正在从应用程序进行服务器调用？

概述我有一个Android应用程序需要经常连接到服务器以检索或添加数据库敏感数据.我需要验证从应用程序到服务器的调用,所以我使用了这种方法：howtoverifytheidentityoftheclientfromtheserver?,它包含在服务器中验证的应用程序中的硬编码字符串键.但后来我意识到有像dex2jar这

我有一个Android应用程序需要经常连接到服务器以检索或添加数据库敏感数据.我需要验证从应用程序到服务器的调用,所以我使用了这种方法：how to verify the identity of the client from the server?,它包含在服务器中验证的应用程序中的硬编码字符串键.
但后来我意识到有像dex2jar这样的工具可以显示我的所有代码(即使是来自proguard的一些混淆),特别是这个硬编码的密钥.

有没有更优雅和安全的方法来验证服务器调用是从我的应用程序进行的？

PS：我很抱歉英语,显然我不是母语人士.

解决方法:

如果它只是您的客户端和服务器,您可以(并且应该)使用相互身份验证的SSL而无需购买任何东西.您可以控制服务器和客户端,因此每个应该只信任一个证书,一个属于另一个证书,并且您不需要CA来实现此目的.

这是高级方法.创建自签名服务器SSL证书并在Web服务器上部署.您可以使用AndroID SDK附带的keytool来实现此目的.然后创建一个自签名客户端,并将其作为资源在应用程序中包含的自定义密钥库中部署到您的应用程序中(keytool也会生成它).将服务器配置为要求客户端SSL身份验证,并仅接受您生成的客户端证书.将客户端配置为使用该客户端证书来标识自身,并且只接受您在服务器上安装的那个服务器端证书.

这是一个循序渐进的答案,比这里所保证的要长得多.我建议分阶段执行此 *** 作,因为网络上有关于如何在AndroID(服务器端和客户端)处理自签名SSL证书的资源.在我的书中,O’Reilly出版的AndroID平台应用程序安全性也有一个完整的演练.

您通常会将该证书/私钥存储在某种类型的密钥库中(如果您使用的是AndroID,则为KeyStore),并且该密钥库将被加密.该加密基于密码,因此您需要(1)将密码存储在客户端的某个位置,或者(2)在用户启动客户端应用程序时询问用户密码.你需要做什么取决于你的用例.如果(2)是可接受的,那么您已经保护您的凭证免受逆向工程,因为它将被加密并且密码不会存储在任何地方(但用户需要每次都输入它).如果您执行(1),那么有人将能够对您的客户端进行反向工程,获取密码,获取密钥库,解密私钥和证书,以及创建另一个能够连接到服务器的客户端.

你无能为力,以防止这种情况发生;你可以更难以对代码进行逆向工程(通过混淆等),但你不能让它变得不可能.您需要确定使用这些方法尝试缓解的风险是什么,以及为缓解这些风险需要做多少工作.

总结

以上是内存溢出为你收集整理的php – 如何验证是否正在从应用程序进行服务器调用？全部内容，希望文章能够帮你解决php – 如何验证是否正在从应用程序进行服务器调用？所遇到的程序开发问题。

如果觉得内存溢出网站内容还不错，欢迎将内存溢出网站推荐给程序员好友。