logo标签列表

Web服务和PhoneGap:最佳实践

javascriptphpweb-servicessecuritycordova
5

你好,我正在使用PhoneGap进行跨平台开发(我使用AngularJS作为JS框架)。

我想使用Web服务从我的网站上的数据库(MySQL)访问位置列表。

问题在于,我找到的解决方案根本不安全:

JavaScript

var xhr;
if (window.XMLHttpRequest)
    xhr =  new XMLHttpRequest();
else
    xhr =  ActiveXObject("Microsoft.XMLHTTP");

xhr.open("GET", "http://localhost:8888/MAMP_Site/0/test.php", true);
xhr.send(null);
xhr.onreadystatechange = function() {
    if (xhr.readyState == 4 && (xhr.status == 200 || xhr.status == 0)) {
    console.log("Ready State4: Json Textual Data retrieved");
          handleData(xhr.responseText); // Json Textual Data
    }
};

function handleData(data)
{
var jsonData;
console.log("ReceivedData from WebService:"+data);
jsonData = eval('(' + data + ')');

$scope.lastUpdate = jsonData[0];
$scope.jsonData = jsonData[1];
$scope.$apply();
}

PHP(作为“Web服务”使用)

<?php
    header('Access-Control-Allow-Origin: *');
    header("Content-Type: text/plain");

    class UserInfo {
        public $id = "";
        public $name  = "";
        public $username = "";
        public $timestamp = "";

        public function __construct($_id, $_name, $_username, $_timestamp) {
        $this->id = $_id;
        $this->name = $_name;
        $this->username = $_username;
        $this->timestamp = $_timestamp;
      }
    }


    $db = mysql_connect('localhost:8889', 'root', 'root'); 
    mysql_select_db('myDbName',$db);
    $sql = 'SELECT id,name,username,timestamp FROM positions_test'; 
    $req = mysql_query($sql) or die('Erreur SQL !<br>'.$sql.'<br>'.mysql_error()); 
    $dataArray = array();

    while($data = mysql_fetch_assoc($req)) { 
        $dataArray[]= new UserInfo($data['id'],$data['name'],$data['username'],$data['timestamp']);
    } 

    //Last Modified Time
    $sql = "SELECT UPDATE_TIME FROM information_schema.tables WHERE  TABLE_SCHEMA = 'myDbName'AND TABLE_NAME = 'positions_test'"; 
    $req = mysql_query($sql) or die('Erreur SQL !<br>'.$sql.'<br>'.mysql_error()); 
    $data = mysql_fetch_assoc($req)["UPDATE_TIME"]; 

    $jsonDataArray = array($data, $dataArray);
    echo json_encode($jsonDataArray);
    mysql_close(); 
?>

基本上,PHP返回一个JSON(作为文本),我在JS中获取它(作为文本),然后将其评估为JSON。
问题:
安全问题
由于应用程序是使用cordova制作的,所有JS和Html源代码都可以查看,因此可以查看我的php“Web服务”的URL。这意味着任何拥有地址的人都可以访问Json文件。即使这些数据是公开的(在我的情况下),我也希望它只能从我的应用程序中访问(这样我就可以避免机器人存储所有这些数据并进行垃圾邮件)。
令牌或用户代理
由于没有用户认证,我的Web服务是否有办法知道请求来自哪里?
我想使用令牌来确保请求来自我的应用程序,但是再次,由于源代码可以查看,任何人都可以看到令牌或生成它的代码。
也许使用 user-agent 来知道它是否从移动设备访问?
其他端口而不是80
也许选择一个与80端口不同的端口连接我的Web服务会更明智,但我该如何选择连接端口?
最佳实践
实际上,最重要的是,对于PhoneGap(Cordova)上的Web服务,什么是最佳实践? 我应该使用SSL、Https吗?
我应该使用真正的Web服务而不是简单的PHP页面和XMLHTTPRequest吗?如果是,应该选择哪个?
当然,如何构建并且安全地构建我的Web服务?

我知道这是一篇长文章,但我搜索了一段时间,发现了很多有趣的东西,但在为PhoneGap应用程序(没有用户身份验证)构建Web服务的最佳实践方面,没有找到真正具体的东西。
1个回答
0

你可以尝试混淆代码或其他方法,但最终你必须在客户端接收它,因此你无法完全防止他读取你的数据、查看你的客户端代码或者垃圾邮件攻击你的服务。

为了确保服务的安全,你可以做的最好的事情是:确保与数据库的连接不允许写入,所有涉及的软件都定期更新,并且发送到你的服务的查询具有你所期望的语法和内容。

网页内容由stack overflow 提供, 点击上面的
可以查看英文原文,
原文链接