Я разрабатываю мобильное приложение, которое работает с удаленным сервером.Правильно запросить конфиденциальные данные с удаленного сервера
В моем приложении каждый из моих пользователей имеет пользовательские данные, которые содержат некоторые конфиденциальные данные. (хранится в db) Мой главный вопрос заключается в том, что, как только мой пользователь регистрируется/регистрируется в моем приложении, я хотел бы получить данные пользователя с сервера безопасным способом. В настоящее время я возвращаю данные JSON, используя простые запросы GET, такие как/getuser/id. Это явно не лучший способ вернуть конфиденциальные данные, поскольку он открыт для всех.
Простой поток для рассмотрения: Пользователь регистрируется, получает данные пользователя с сервера, сохраняет данные на устройстве пользователя.
- Не могли бы вы пролить свет на эту проблему?
- Как вы получите данные правильно и безопасным способом?
- Нужно ли создавать целую логику, которая делает ее безопасной?
- Должен ли я использовать POST-запросы?
Ssl + сеанса управления. Получить запросы уместны, так как вы получаете данные, не отправляющие данные. Безопасность должна вращаться вокруг пользователя, входящего в систему, и независимо от того, разрешено ли пользователю просматривать указанные данные. –
Неправильно ли использовать POST для получения данных? как насчет запросов на сеанс или что-то в этом роде? – Popokoko
, используя POST вместо GET, чтобы данные работали (при условии, что ваш api поддерживает его), но пост не более безопасен, чем get. Это ничего не скрывает. Является ли это правильным или неправильным, является спорным. запросы на сеанс не имеют ничего общего с безопасностью и могут быть обойдены простым открытием нового сеанса (например, очистка файлов cookie). –