我正在Android上創建一個移動應用程序,該應用程序連接到數據庫服務器以獲取一些數據。首次使用使用自制令牌的Web服務身份驗證
在我的架構中,我以這樣的方式設計應用程序,在應用程序的第一次輸入時會檢查用戶是使用過應用程序還是第一次使用應用程序。
如果這是第一次,我創建一個隨機令牌,並採取手機號碼,我發送組合到我的服務器,以便我可以將它們存儲在我的用戶表中。後來,對於每個請求,我還會將請求中的數字和令牌一起發送,並檢查請求是否確實來自有效的來源。 (這些請求是以HTTPS的形式發送的,因此令牌不會被發現,除非有人真的進入了本地數據庫或在線數據庫,爲簡單起見,在這個問題中沒有考慮到這一點)
我擔心的是,我第一次發送令牌和手機號碼會發生什麼?如果有人能夠找出php文件的地址和名稱,可以輕鬆發送POST請求並用大量假令牌和手機號碼來侵入數據庫。
有什麼辦法克服?