[英]Securing authentication through a REST API with an Android device?
我正在草拟一个Android应用程序连接到Web上的REST API的解决方案。 用户应该能够创建配置文件,然后在该配置文件上执行某些请求(更改名称,电子邮件等)。 搜索类似的问题,从大部分答案中得出私有/公钥解决方案的建议。
这个人很好地解释了这个程序: http : //www.thebuzzmedia.com/designing-a-secure-rest-api-without-oauth-authentication/
此过程完全取决于私钥确实是私有的先决条件。 我没有找到解决这个问题的任何答案。 但是,如果服务器和客户端必须具有相同的私钥,那么它必须在某个时刻在双方之间进行转移,这将不可避免地将其暴露给观看流量的人。 那么在双方之间建立相同的私钥是否有安全的方法?
另一个问题,当客户端(安全地)获取私钥时,应该如何存储? 共享首选项之类的东西足够安全吗? 我担心的是,具有root权限的人可以轻松访问它。
只需使用TLS建立安全连接即可。
使用带有AJAX身份验证的Spring Security保护Rest API
[英]Securing Rest API using Spring Security with AJAX Authentication
保护Rest Web服务以进行公共身份验证-服务器到服务器
[英]Securing Rest Web Service for Public Authentication - Server to Server
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.
