サーバーにリクエストを送信するモバイルクライアントを認証するにはどうすればいいですか

Question

私のサーバーに接続してデータを取り出し、このAPIを使用するモバイル（Android）アプリに送信するモバイルAPIを開発しています。

サーバーで認証されたユーザーのみがAPIを使用できることを確認します。

APIを使用するユーザー名またはパスワードを与えることはできますが、他のユーザーがユーザー名とパスワードを使用して同じリクエストをサーバーに送信した場合（返信） APIに対するこの攻撃を回避するにはどうすればよいですか？

Googleは署名キーのダイジェストに関連付けられているAPIのようなAPIでAPIキーを使用していることがわかりました。私はそれがどのように働いているのか、それが何かを助けることができるかどうかはわかりません。

実際には、サーバーに要求しているクライアントアプリケーションが自分で開発したアプリケーションと同じであることを確認したいと思います（逆コンパイルと再コンパイルされたバージョンのアプリケーションではありません）。 APIのユーザーを認証するには？

Answer 1

あなたが説明したところから、あなたが望むアプリケーションだけがサーバーAPIを使用できるようにしたいと思っていると思います。

これを確実にするが、いくつかのステップは偉大な保護を行うことができます任意の完全な方法がありません。

1 - あなたはあなたを送信することを許可されているパッケージ名の完全なリストを持っている必要がありますが、あなた

2-要請しますあなたのsdkコード（あなたが言ったaarファイル）を保護し、このaarから開発者のユーザー名パスワードを取る必要がありますので、開発者が以下のようなaarのコードを知る必要はありません：

YourSdkMainClass theInstance = YourSdkMainClass.getInstance（ "username"、 "password"）;

3 - APIを呼び出すたびに（暗号化された文字列を3つにすると便利です）、またはハッシュを生成するメカニズムを選択できるように、アプリケーションpackagenameを取得してユーザー名とパスワードとともに送信する必要がありますアプリケーションの開始時に呼び出される特定のAPIでこれら3つのトークンを使用し、その後に他のAPIを呼び出すためにそのトークンを使用します（使用しないで数時間後にトークンを無効にし、新しいトークンを生成する必要があります）

4 - サーバー側では、受け取ったpackageNameをチェックし、特定の開発者に許可されているpackageName（またはpackageNamesのリスト）と比較する必要があります。すべてがOKならAPI呼び出しに応答する（またはトークンを返す）

注：このシナリオは、packageNameではなくAPKの署名を送信するように改善することができます。署名キーを使用すると、同じpackageNameを持つ複数のアプリケーションがサーバーに要求を送信できなくなる可能性があります。もちろん、サーバー側に開発者のAPKの署名を付ける必要があります（ユーザーにパスワードを与えたいときに質問してください）

aarを良い方法で守ればこれらはすべて完璧です。