【发布时间】:2011-12-29 22:57:05
【问题描述】:
我有以下场景:Android 客户端通过 HTTP Post 与 PHP 服务器通信。 PHP 服务器正在与 mySQL 数据库通信,并将输出作为 JSON 发送到 Android 客户端。 我已经说明了这一点:securing connection to php server
结论是使用 TLS/SSL 来保护连接。不幸的是,我的服务器不支持 tls。
是否有其他方法可以使获取我的 php 服务器的 API 变得更加困难,因此人们无法通过 PC 发布到我的服务器。
我考虑过 gzip,但我认为这将是一个低门槛......
因此,如果有人使用wireshark 嗅探流量,他不应该轻易了解与我的php 服务器的通信是如何完成的。
【问题讨论】:
-
我觉得你还是和以前一样的问题。对用户保密。您是否考虑过强制用户在您的站点上创建一个帐户,并尝试以这种方式控制您的系统?
-
不,我不希望用户拥有帐户。
-
你为什么要关心别人是否看到你的 Web API 是如何工作的?如果它是公开的,它不应该是秘密的。如果您要存储个人身份信息或用户认为敏感的其他信息,请不要运行允许匿名用户访问它的 Web 服务,而不限制对经过身份验证和授权的连接的访问(即使他们必须首先从应用程序中提取您的公共加密密钥/幻数/哈希算法);没有人会为此感谢你。如果用户关心数据,他们可能不会介意使用某种形式的授权。
-
你是对的。但是我存储在后端的数据并不敏感。用户不关心它。但我害怕孩子们用 PC 填满我的数据库。因此,我认为 HMAC 足以达到我的目标。
标签: php android security backend