应用服务器通信协议

Question

我正在构建一个将连接到服务器的小 android 应用程序。

我的应用会使用简单的帖子向我的服务器发送消息，而我正在使用 Google Cloud Messaging 让服务器向我的应用发送消息。

我建立了一个注册页面、一个电子邮件确认和一个连接页面，但现在我想知道如何锁定服务器和应用程序之间的通信。

这是我想到的协议（让我们以应用到应用消息的简单示例为例）：

• 应用程序将发布信息与自我信息（如姓名和 auth_token）、目标用户和消息一起发送到服务器
• 服务器搜索属于目标用户的应用，并使用curl将消息转发到GCM
• GCM 将消息发送到目标应用程序

服务器如何确定服务器收到的名称、auth_token 等确实来自发件人？

Answer 1

让服务器在客户端进行注册时生成身份验证令牌并将其发送回客户端。服务器现在知道 [client - token] 映射。

每次客户端要发送消息时，它也会发送服务器可以查找和检查的身份验证令牌。客户端甚至不必发送他或她的姓名，服务器应该知道这一点。

要防止 MITM 攻击，请使用安全连接 (HTTPS)。

Answer 2

虽然有很多解决方案可以确保连接安全，但当您使用 GCM 处理下游消息时，我建议您使用支持上游消息传递（从客户端到服务器）的新 Google Cloud Messaging API。 它非常快速、可靠和安全。 在这里你可以找到docs

您应该只将服务器端从 HTTP 更改为 XMPP。

在这里您可以找到docs。