私はプレミアムを購入することができるシンプルなゲームを持っています。その場合は、Google Datastoreのユーザー表でバージョン番号を0から1に変更します。データベースとセキュアなサーバー通信で機密データを保存する
私は他の多くの電話も持っていますが、これが妥協すると本当に重要なのはこれだけです。
これを安全に行う唯一の方法はサーバー側で行うことですが、ユーザーがプレミアムを購入したことをどういうわけかサーバーに伝える必要があると言われています。 APIとは、サーバー上で完全には実行されていないことを意味します。
次のように私は私の通信を保護:
- をユーザーIDでDBに格納し、アクセストークンを作成デシベル
- に保存し、それをハッシュ、ユーザ名/
- サーバーに渡す塩パスを送ります、クライアント
- に戻りトークンは、APIへのすべての呼び出しは、トークンが添付
これも目を意味している必要があり、好みにトークンを保存しましたユーザーはプリファレンスからトークンを取得するだけで、自分の希望するAPIエンドポイントを呼び出すことができます。おそらく、私はこの自己を作ったので、私はoauthプロセスの一部を欠いているかもしれませんが、何のステップが欠けていますか?それはリバースエンジニアリングに対して非常に脆弱だと感じているだけです。
他の誰も私のAPIを呼び出せないようにするにはどうすればよいですか?それが不可能な場合は、フローをより安全にするために何を追加できますか?
、また、あなたのデータベースに暗号化を適用することができます。リンクは https:// guardianprojectです。info/code/sqlcipher/ –