Android App и PHP Web Service Security

Question

Я создаю приложение для Android, которое использует веб-службу PHP (я также создаю это).

Мой вопрос в том, как предотвратить несанкционированные пользователи, использующие мой веб-сервис? Например, может ли кто-нибудь получить адрес моего веб-сервиса и использовать его за пределами моего приложения (например, отправьте переменные post на мою службу)?

Другой связанный с этим вопрос: как предотвратить нежелательные запросы на мой веб-сервис? Будет ли это случай регистрации IP-адреса и ограничения количества вызовов?

Answer 1

Вы можете использовать HTTPS соединение между устройством Android и конечной точкой API webservice.

Ограничьте свой веб-сервис так, чтобы он принимал только соединения HTTPS. Вы можете легко сделать это с помощью Apache (возможно, используя SSLRequireSSL directive) или непосредственно в вашем обработчике подключений PHP.

При использовании транспортного потока HTTPS вы можете передать конкретные аргументы при вызове API на свой веб-сервис, чтобы гарантировать, что запрос был отправлен из вашего приложения. Никто не сможет узнать, какие конкретные данные переданы, и не сможет воспроизвести подключение к вашему удаленному сервису.

Что касается вашего второго вопроса, вы действительно можете ограничить количество запросов на заданный промежуток времени. Либо в PHP, либо с помощью специальных инструментов, таких как fail2ban.

Answer 2

PHP может получать данные через POST или GET из вашего сайта и даже через интернет-браузер. Один из методов, используемых для этого, - curl.

К чему вы относитесь к этому вопросу, называется Cross-site request forgery.

Если вы в состоянии, вы должны реализовать использование HTTPS в своем приложении, и это может решить многие проблемы безопасности.

В случае, если вы не можете использовать HTTPS (является ли это дорого или любой другой проблемой):

Вы должны проверить информацию, полученную с помощью POST или GET в вашем PHP, этот языке имеет много возможностей для решения этих "проблемы"; Взгляните на это part официального представителя PHP documentation.

Предположим, вы строите систему входа в систему: Также вы можете добавить на страницу входа скрытый элемент с секретным уникальным кодом, который может произойти только один раз, сохранить этот секретный код в сеансе, так что сценарий входа в систему сеанс для этого кода, сравните с тем, что было отправлено на скрипт, должно продолжаться.

И, если вы хотите, чтобы получить IP-адрес ваших посетителей:

function getRealIpAddr() 
{ 
    if (!empty($_SERVER['HTTP_CLIENT_IP'])) //check ip from share internet 
    { 
     $ip=$_SERVER['HTTP_CLIENT_IP']; 
    } 
    elseif (!empty($_SERVER['HTTP_X_FORWARDED_FOR'])) //to check ip is pass from proxy 
    { 
     $ip=$_SERVER['HTTP_X_FORWARDED_FOR']; 
    } 
    else 
    { 
     $ip=$_SERVER['REMOTE_ADDR']; 
    } 
    return $ip; 
} 

Наконец, читайте this.

EDIT

Если вы не можете оплатить сертификат HTTPS, (как Halim Qarroum говорит), вы можете использовать:

Self signed SSL certificates, , которые являются бесплатными. Конечно, это имеет свои преимущества и недостатки.