Я разрабатываю одно приложение для Android, и я создаю веб-сервис на основе php для извлечения информации из базы данных.Как защитить php based webservice
Дело в том, что я действительно не знаю, как обеспечить эту услугу.
Например, если моему приложению андроид требуется получить некоторую информацию с сервера, он назовет http://mywebservice.com/service.php и отправит несколько параметров POST в качестве пользователя и пароль для входа в систему или что-то вроде, например, одного идентификатора пользователя получить его данные.
Конечно, любой, у кого есть достаточные знания, сможет также получить эти данные. И это то, чего я не хочу.
Любой, кто знает параметры для отправки на мой сервер, сможет извлекать из него информацию.
Как это можно защитить?
Я читал о OAuth, OAuth2, две ноги и три длинноногие реализации него, HTTPS ..
Но на данный момент, я действительно не знаю, как обеспечить это.
Я хочу, чтобы веб-служба отвечала только на мое приложение, а не на кого-то другого.
PS: Даже есть что-то вроде http://myservice.com/get_information.php, что вы отправляете идентификатор, и вы можете получить много информации. Конечно, я контролирую это в своем приложении, только зарегистрированные и уполномоченные люди могут выполнить это вызов, но это все равно. Каков наилучший способ сделать такие вещи?
Я думаю, что хорошим началом было бы взглянуть на функцию '' crypt() '] (http://php.net/manual/fr/function.crypt.php), если она еще не выполнена. –
Как насчет имени пользователя и пароля, отправленного с каждым запросом HTTP? Они могут быть автогенерированы, если хотите, или набраны пользователем, в зависимости от ситуации. – halfer