訪問Web服務時的Android應用程序安全性

Question

我正在構建需要與MySQL數據庫進行通信的Android應用程序。該應用程序並不意味着要發佈，我希望應用程序成爲唯一允許與我將爲數據庫訪問創建的Web服務接口的東西。

我一直在想如何保護系統，這是我想到的想法。我會很感激任何反饋或其他想法。當然，有一種內置於Android的方法，我不知道。

我的想法是給Web服務一個GUID。每次調用其中一個公共方法時，Web服務都會將其GUID與Android應用程序給出的GUID進行匹配。如果GUID不匹配，則Web服務拒絕訪問。總之，我的系統有一個128位密碼。

Answer 1

如果你信任個人管理你的數據庫，那麼一切都應該沒問題。最重要的變化是所有這些通信都必須通過HTTPS完成。如果黑客看到這種流量，您的數據庫將被黑客入侵。

我仍然使用用戶名/密碼組合來訪問系統。我建議使用MySQL password()函數使用現有的mysql.users表。這個GUID聽起來和cookie相同，我會認真考慮使用現有的會話處理系統，比如php的session_start()，而不是自己動手。重新發明風輪是不好的，特別是在安全方面。