idTokenはAPIの非セキュアURLを安全に送信できますか？

Question

私はJavaにとって非常に新しく、Android用に開発していますが、Google経由でアプリにログインすると、何とかidTokenを成功させることができました。

修正されたクライアントが偽のメッセージを送信し、別のユーザーの偽装を引き起こす可能性があるため、IDの安全性が低いと私は読んでいます。そのため、ユーザーのidTokenを取得する手順に従いました。

とにかく、自宅のサーバーにURLを送信すると安全ですか？例えば、そう（ランダムなテキストの長い文字列は、ユーザーのidTokenあるふり）のように：

http://130.155.122.8/api_test/h78e568e7g6589gjkdfhjghdjfkghjkdfhgjkdfhk7hg9867458g74598hg6745896gh49/command

また、idTokenにも必要なのですか？ユーザーの電子メールアドレスを使用してユーザーを識別するのと同じように簡単に使用できますか（また、安全でないURL、HTTPSなしで送信される）

ありがとうございます！

Answer 1

一般的に言って - 第

あなたが安全でない接続（例えばHTTP）を介して送信すべきではありませんを識別するトークンを。このような接続では暗号化が使用されないため、サードパーティは接続を非常に簡単に監視してトークンを取得することができます（偽装の問題につながります）。

IANAEですが、セキュリティ関連のデータ（例：idTokenやパスワード）は、安全な（暗号化された）接続（たとえばhttps）で送信する必要があります。

電子メールアドレスを使用しても問題は解決しません。ある識別子を別の識別子に置き換えるだけです。また、誰かがユーザーの電子メールアドレスを知っていた場合、そのユーザーを偽装する可能性があります。 「文書化された」認証技術に固執する。正しいとすれば、彼らは安全でなければなりません。

Answer 2

aford ssl（今のところ）私はasymetric暗号化を使ってトークンを暗号化できないので、誰かがそのユーザーを偽装できるユーザーからトークンを取得する場合は、暗号化を使用する必要があります。サーバーには、sslが最善の方法です