我已经在 PHP 中使用 GET 方法为 android 创建了 web 服务。现在我想将其转换为 POST,以使其更安全。如何将应用程序从 GET 转换为 POST?有没有其他方法可以让它更安全?
【问题讨论】:
POST 并不能保证任何安全...这只是另一个动词。你想“保护”什么?
标签: php android web-services
答案取决于您想从谁那里保护它。假设您想保护网络嗅探器,SSL 是您的最佳选择。
POST 是您可以建议的最弱的“安全性”形式。它所做的只是防止参数在浏览器的缓存历史记录中可见(在这种情况下根本不会影响您),并使通过网络嗅探参数变得更加困难(这确实会影响您)。所以有一点好处(是的,这是值得的),但它根本不安全。
最简单的解决方案是使用 SSL 进行 POST。换句话说,与发布到“http://example.com”相反,您应该使用服务器上的有效证书发布到“https://example.com”。这将加密设备和服务器之间的流量。谷歌寻求建议,或开始Secure HTTP Post in Android
如果做不到这一点,您可以自己加密数据,然后公开发送加密查询,因为只有您的服务器才能解密它。一点点谷歌搜索将为您提供有关如何在一个中加密并在另一个中安全地解密的代码 - 但作为一个小警告,让它工作可能会令人沮丧,因为它直到它突然开始才会工作......没有当它不起作用时你可以做很多调试!
【讨论】: