我在谷歌上搜索了很多次有关如何验证Restful API和移动应用程序的内容。我找到了许多答案,但感觉并不好,或许是因为我对API还比较陌生。
我的意愿: 1. 移动应用程序请求或发送数据到Restful服务器 2. Restful服务器通过用户名和密码登录来验证移动应用程序 3. 我想保证在Restful服务器上安全,并避免黑客窃取密码和请求数据。
在谷歌上搜索后,他们告诉我: 1. 使用带有SSL的Https 2. 验证用户名或密码,然后生成新的令牌和签名 3. 使用令牌和签名来验证移动应用程序。 4. 其他方式使用Oauth 2.0。在阅读了Oauth 2.0文档之后,
我仍然认为其结构与上面的令牌和签名类似。 我认为如果这样,移动应用程序可以存储或使用令牌和签名, 或黑客可以通过代理请求进行调试或查看进程日志。我仍然感觉不安全, 因为我们仍然在请求中使用令牌和签名。
我刚开始学习API的知识,如果我有误解, 我很抱歉。我使用PHP编码。
我的意愿: 1. 移动应用程序请求或发送数据到Restful服务器 2. Restful服务器通过用户名和密码登录来验证移动应用程序 3. 我想保证在Restful服务器上安全,并避免黑客窃取密码和请求数据。
在谷歌上搜索后,他们告诉我: 1. 使用带有SSL的Https 2. 验证用户名或密码,然后生成新的令牌和签名 3. 使用令牌和签名来验证移动应用程序。 4. 其他方式使用Oauth 2.0。在阅读了Oauth 2.0文档之后,
我仍然认为其结构与上面的令牌和签名类似。 我认为如果这样,移动应用程序可以存储或使用令牌和签名, 或黑客可以通过代理请求进行调试或查看进程日志。我仍然感觉不安全, 因为我们仍然在请求中使用令牌和签名。
我刚开始学习API的知识,如果我有误解, 我很抱歉。我使用PHP编码。