3
私は、Androidアプリがウェブ上のREST APIに接続するソリューションをスケッチしています。ユーザーはプロファイルを作成し、そのプロファイル(名前、電子メールなどの変更)で特定の要求を実行できるはずです。同様の質問の周りを検索すると、回答の良い部分からプライベート/パブリックキーソリューションの推奨が得られました。AndroidデバイスでREST APIによる認証を保護していますか?
この男は非常によく手順を説明します。 http://www.thebuzzmedia.com/designing-a-secure-rest-api-without-oauth-authentication/
この手順では、秘密鍵が実際にプライベートであることを前提に完全に依存。そして、私はこれに対処する答えを見つけませんでした。しかし、サーバーとクライアントが同じ秘密鍵を持つを持っている場合は、ある時点で両当事者間で転送されなければならず、必然的にトラフィックを見ている誰かに公開されます。両者の間に同じ秘密鍵を確立する安全な方法はありますか?
クライアントが秘密鍵を(安全に)取得した場合、どのように保存する必要がありますか?共有プリファレンスは十分安全ですか?私の懸念は、誰かがアクセスを根ざしていることが簡単にこれにアクセスできるということです。
SSL +基本/ダイジェスト認証を使用します。 – Perception