私はAndroidプラットフォーム用のアプリケーションに取り組んでいます。アプリケーションは、私のWebサーバーに大量のHTTPコールを使用します。これはうまく動作しますが、私の電話とWebサーバーのセキュリティを確保するための支援が必要です。Android HttpWebConnectionセキュリティ
私はクライアント側とサーバ側の両方の接続を暗号化するためにHttpsを通じてSSLを使用できることを知っていますが、これは問題ではなく、アプリケーションを起動するときには必ず行われます。しかし、最も安全な方法は、ログインしたデバイスのセッションを持つことですか? sessKey - - sessCont - sessUid - sessTime
sessKeyは、ランダムに生成32ビットの鍵となる
アイブ
ID次の行を含むのMySQLベースのセッションシステムを作る考えました。 sessCont保存された情報のJSON配列を取得し、sessUidはサインオンしたユーザーのユーザーIDになります。 sessTimeにはタイムスタンプが含まれます。
このセッションはログイン時に設定され、電話機はsessKey + sessIdを受け取ります。電話をかけるときにキーが変更され、再び電話機に戻されます。最新の通話より10分遅れている場合は、セッションが終了し、新しい通話が必要になります。
しかし、私はこのアプローチを妥協する方法を続けているだけでなく、私が考えることができる他のすべての承認と一緒にすることができます。
どのように私のサーバーサイドのスクリプトに電話からの最高のセキュリティとセッション制御を行うことができますか?
ありがとうございます。 ジョナス
あなたは、これらの方法が危険にさらされていると感じるいくつかのやり方を教えていただけますか? SSL接続では、何も傍受されることはありません。だから、あなたのセキュリティを妥協する人がユーザーの終わりから心配していますか?キーを毎回変更する場合は、毎回ユーザーIDとパスワードを保存してログインするだけではいかがですか? – Rawr
私はSSL接続を行うため、データを読み込んで理解するのを恐れていません。 Imはセッションハイジャックを恐れ、そのためにこれを防ぐ方法を尋ね、PHPとアンドロイドの間でセッションを作るための最もアドバイスできる方法を教えてください。ありがとうございます:) –