使用我的應用程序的密鑰哈希來驗證來自我的應用程序的REST調用是否僅足夠安全?
[英]Is using my app's key hash to verify that REST calls are coming from my app only secure enough?
問題描述
我有一個休息服務器,我只希望我的應用程序能夠與我的REST服務器通信。 例如,如果有人將URL放在瀏覽器中,他們將無法與我的服務器通信
目前,我正在考慮在請求調用中添加密鑰哈希作為額外參數,然后存儲密鑰
哈希沒有存儲在我的應用程序中,而是使用以下方法自動檢索。
public static void getHashes(Activity act) {
PackageInfo info;
try {
info = act.getPackageManager().getPackageInfo("com.my.package.myapp", PackageManager.GET_SIGNATURES);
for (Signature signature : info.signatures) {
MessageDigest md;
md = MessageDigest.getInstance("SHA");
md.update(signature.toByteArray());
String something = new String(Base64.encode(md.digest(), 0));
//String something = new String(Base64.encodeBytes(md.digest()));
Log.i("hash key", something);
}
} catch (NameNotFoundException e1) {
Log.e("name not found", e1.toString());
} catch (NoSuchAlgorithmException e) {
Log.e("no such an algorithm", e.toString());
} catch (Exception e) {
Log.e("exception", e.toString());
}
}
例如,在某個特定的時間,我將僅調用一次此方法,以便在編譯到生產apk后可以在logcat上看到它並將其保存到服務器中。 這意味着它將不會再次輸出給其他任何人查看。
我會將這個密鑰存儲在服務器上,並且每次提出請求時,我的應用程序都會發送該密鑰。 如果密鑰不同,則我的服務器將不會響應。
這種方法安全嗎? 誰能看到其中的缺陷?
2 個解決方案
解決方案1
0 2013-09-02 20:36:15
不,這不安全。
攻擊者可以觀察到此哈希在請求中發送的單個實例,然后將其包含在自己的請求中,您的服務器將無法區分。 散列可以例如由第一人在網絡上發布以獲得。
但是,這不僅是您的方法存在的問題:還沒有針對一般問題的已知安全解決方案,請參閱此答案以進行更全面的討論(在WCF而非Android的情況下,但論點是相同的)。
解決方案2
0 2017-07-03 08:28:28
不,您需要先向服務器詢問挑戰,然后返回應用程序密鑰的哈希值,該挑戰,消息本身的內容(簽名除外)以及應用程序和服務器上已知的一些隨機字節數組側。 如果采用這種方式,則應不受網絡嗅探,重播攻擊的影響,還應嘗試將合法應用用作消息模板生成器(有效身份驗證,其他內容可能會被替換)。 您也可以以相同的方式驗證服務器端。
不幸的是,在.apk文件由攻擊者掌握之后,幾乎無法對應用程序進行逆向工程。 但是,Google和Amazon應用程序商店提供了一些保護,以防止拆卸.apk。
為什么 firebase 必須驗證電話號碼登錄請求來自我的應用程序?
[英]Why firebase must verify that phone number sign-in requests are coming from my app?
Android和SafetyNet,以確保對API的調用僅來自我的應用
[英]Android and SafetyNet to ensure calls made to the API are from my app only
使用 Proguard 混淆我的應用程序是否可以保證我的服務器密鑰安全?
[英]Does using Proguard to obfuscate my app keep my server key safe/secure?
如何設置安全性,以便我的服務器只接受來自我的應用程序的請求
[英]How can I put in security so that my server only accepts requests coming from my app
如何使用開發人員的公鑰正確簽署驗證購買,在服務器端將使應用程序更安全?
[英]How does verify purchase was signed correctly using developer's public key, at server side will make the app more secure?
Wifi使用改造和okhttp阻止來自我的應用的網絡通話
[英]Wifi blocking the network calls from my app using retrofit and okhttp
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.
相關問題
如何確保服務器調用來自我的應用程序?
為什么 firebase 必須驗證電話號碼登錄請求來自我的應用程序?
Android和SafetyNet,以確保對API的調用僅來自我的應用
android檢查請求是否來自我的應用程序
使用 Proguard 混淆我的應用程序是否可以保證我的服務器密鑰安全?
如何設置安全性,以便我的服務器只接受來自我的應用程序的請求
如何使用開發人員的公鑰正確簽署驗證購買,在服務器端將使應用程序更安全?
如何為我的應用程序創建安全的Rails REST Api?
Wifi使用改造和okhttp阻止來自我的應用的網絡通話
與第三方供應商共享我應用的GCM密鑰是否安全?
相關標簽