0
我有以下情況: Android客戶端通過HTTP Post與PHP服務器進行通信。 PHP服務器正在與mySQL數據庫進行通信,並將輸出作爲JSON發送給Android客戶端。保護連接到php服務器
現在我擔心的是,人們嗅探流量,找出網址,並會在我的數據庫中發佈大量圖片。 我不關心嗅探有效載荷。所以它不一定是加密的。
我想到的是因爲HTTP連接而想到的TLS/SSL。但我不確定在這種情況下最好的方式是什麼。
A
回答
3
你想要做的是採用相互認證的SSL,這樣你的服務器將只接受來自你的應用的傳入連接,你的應用只會與你的服務器通信。
這是高層次的方法。創建一個自簽名服務器SSL證書並部署到您的Web服務器上。爲此,您可以使用Android SDK附帶的keytool。然後創建一個自簽名客戶端,並將其作爲資源部署在您的應用程序中的一個自定義密鑰庫中(keytool也會生成這個)。將服務器配置爲需要客戶端SSL身份驗證,並僅接受您生成的客戶端證書。配置客戶端使用該客戶端證書來標識自身,並且只接受您在服務器上安裝的那一部分服務器端證書。
如果不是你的應用程序的嘗試之外的其他人/東西連接到服務器,SSL連接不會被創建,因爲服務器會拒絕不出示,你已經包括在你的應用程序客戶端證書傳入的SSL連接。
這是一個比這裏保證的更長的答案。我建議分步實施,因爲網上有資源介紹如何處理Android中的自簽名SSL證書,包括服務器和客戶端。我的書中還有一個完整的步驟,由O'Reilly出版,Application Security for the Android Platform。
1
SSL不會對你有所幫助,因爲在數據觸及網絡之前可能會嗅探流量,人們仍然能夠找出你的API調用並填充數據庫。
您可以使用訪問令牌和用戶名/密碼要求來「保護」服務。但同樣,它們不會阻止惡意用戶使用錯誤的數據淹沒系統。但是,它會讓你跟蹤哪些用戶正在這樣做,因爲他們必須使用某種唯一的訪問令牌來訪問你的系統。
+0
你是對的。我不想使用用戶名/密碼登錄。所以我不擔心那些使用App的人填滿我的數據庫。我擔心來自個人電腦的人可能會將其氾濫。 – tobias 2011-12-29 16:28:49
相關問題
- 1. 用PHP連接到受WS-Security保護的Web服務
- 2. 保護從iPhone到服務器的連接
- 3. 保護rails後端服務器免受直接連接
- 4. 從通過連接到PHP服務器
- 5. PHP連接到遠程MySQL服務器
- 6. java/php連接到星號服務器
- 7. 通過SFTP PHP連接到服務器
- 8. 用android連接到PHP web服務器
- 9. PHP連接到其他服務器
- 10. 連接到服務器的PHP IMAP TIMEOUT
- 11. php,無法連接到mysql服務器
- 12. 服務器到服務器的連接
- 13. 如何保護服務器連接認證在代碼
- 14. 保護git的服務器
- 15. 保護Javascript(服務器端?)
- 16. 保護專用服務器
- 17. 連接到UDP服務器
- 18. 連接到服務器
- 19. iphone連接到服務器
- 20. Socket.io連接到服務器
- 21. 連接到服務器
- 22. 未連接到服務器
- 23. 連接到SignalR服務器
- 24. Android服務連接到服務器
- 25. 將受保護的訪問數據庫連接到sql服務器
- 26. 保持連接從HTTP服務器
- 27. 將MySQL作爲鏈接服務器連接到SQL服務器
- 28. 確保服務連接
- 29. 保持WCF服務連接
- 30. PHP:腳本超時服務器連接
這是Web應用程序級別的授權問題。 – Gumbo 2011-12-29 16:35:08
是的,沒錯。沒有使用用戶名/密碼的最佳方式是什麼? – tobias 2011-12-29 16:38:31