Android (ios) для PHP API Security

Question

Я делаю RESTful API-дизайн для android, используя php. Из-за этого я создаю PHP API, который войдет в мою базу данных и будет обслуживать определенные данные на основе вызванного метода/функции.
но после прочтения некоторых уроков, я сталкиваюсь некоторые quetions и я не могу найти хороший способ решить мой problem.my вопрос заключается в следующем:

1.how можно сохранить сеанс между моим API и андроидом Другими словами, если пользователь запустил систему через андроид, как я могу поддерживать сеанс? Некоторые используют PHPSESSID, а другие используют userid (возвращенный api), что лучше?

2.how я могу защитить свое API от неправильного использования? Я нахожу много пользы apikey

3.how я могу защитить злонамеренный пользователь искажать данные? Это связанно с моим первым вопросом, если я использую userid, чтобы поддерживать сеанс между моим API и андроидом, основываясь на этом, даже если я использую apikey, злоумышленник также может нарушить его идентификатор пользователя для других, поэтому он получит информацию другого.

Я так сильно зациклился, поэтому, пожалуйста, помогите мне?

Answer 1

Я рекомендую вам ознакомиться примерно с идентификацией HMAC.

1. Вы не будете поддерживать сеанс ... каждый запрос на сервер отправит некоторые данные токена в заголовок запроса.

2. Вы можете работать над этим, думая о способах защиты вашего сервера. Самое главное подумать о том, чтобы следовать лучшим практикам и когда ваше программное обеспечение находится в производстве, часто проверяйте свои журналы.

3. Используйте HMAC или какой-либо подобный метод.

Вам необходимо изменить свое мнение, чтобы не хранить сеансы и следовать рекомендациям API. Я хорошо разбираюсь в документах instagram, facebook, g + и gdrive, чтобы увидеть, как они это делают.