3
Android 앱이 웹의 REST API에 연결하는 솔루션을 간략히 설명합니다. 사용자는 프로필을 만든 다음 해당 프로필 (이름, 전자 메일 등 변경)에 대한 특정 요청을 수행 할 수 있어야합니다. 유사한 질문을 검색하면 좋은 부분에서 개인/공개 키 솔루션에 대한 권장 사항을 얻을 수 있습니다.Android 기기로 REST API를 통한 인증 보안 설정
이 사람은 아주 잘 절차를 설명 : http://www.thebuzzmedia.com/designing-a-secure-rest-api-without-oauth-authentication/
이 절차는 전제 조건에 전적으로 의존하는 개인 키가 실제로 개인이다. 그리고 나는이 문제를 해결하는 답을 찾지 못했습니다. 그러나 서버와 클라이언트 에 동일한 개인 키가있는이있는 경우, 어느 시점에서 양측간에 전송되어야 할 수밖에 없으므로 트래픽을 보는 누군가에게 노출 될 수 밖에 없습니다. 그렇다면 양 당사자간에 동일한 개인 키를 설정하는 안전한 방법이 있습니까?
클라이언트가 개인 키를 안전하게 확보 할 때 또 다른 질문은 어떻게 저장해야합니까? 공유 환경 설정과 같은 것이 충분히 안전합니까? 제 우려는 뿌리깊은 접근을하는 누군가가 쉽게 접근 할 수 있다는 것입니다.
SSL + 기본/다이제스트 인증을 사용하십시오. – Perception