わかっています。 Android apkをデコンパイルすることができます。 ProGuardを使用していても、誰でもあなたのサーバーURLを見ることができます。私はクライアントが要求のヘッダーにAuthTokenを渡す私のサーバーで基本的な認証スキームを持っています。誰かがAuthTokenを盗むことができれば、彼らはサーバーをだますことができます。 (アプリはログインが必要ですされません)私のJavaコードで|(持つAuthTokenキー)私は何かを含めるように持っているように、私はこれを防ぐために使用する認証システムサーバーへのAndroidアプリ呼び出しを確認するにはどうすればよいですか?
。
ここに私の指摘があります。
APKは、リバースエンジニアリングなんとかですし、あなたのURLは間違いなく攻撃を受けやすいです。これは、トークンベースの認証を使用することで回避できます。あなたはすでにやっている。
誰かが認証トークンを盗むことができると思いますか?唯一の可能性は、ネットワークスプーフィングを行うことです。これは、HTTPSを使用して回避することができます。
また、トークンは、お使いのデバイス上の任意の場所に保存されるべきではありません。これはメモリ内にあり、ユーザーが新しいトークンのアプリリクエストを開くたびに有効になります。アプリにログインが必要ないと述べたので、短命の認証トークンを提供するか、サーバー側でトークンを期限切れにすることができます。
また、ここでhttps://www.owasp.org/index.php/REST_Security_Cheat_Sheet
これは、「これはHTTPSを使用して回避できます。適切なアドバイスには、 ''と ''証明書のピンを使う ''も含める必要があります。さもなければあなたはまだMITMされているかもしれません。 –
@MarcinOrlowskiありがとうございます。これは私にとっても新しいものです –
こんにちはアニルこのトピックに関する詳細を読むことができます。あなたはまだ質問がありますか?あなたのコメントが表示されません –