Шифрование и защита передоваемых данных из приложения в php

SQLite, Preferences, файлы, SD, Content Provider, XML, JSON
Ответить
bydirect
Сообщения: 70
Зарегистрирован: 11 июн 2014, 10:36

Шифрование и защита передоваемых данных из приложения в php

Сообщение bydirect » 12 окт 2014, 15:44

Здравствуйте, форумчане!

Подскажите в какую сторону капать (желательно с примерами)
Есть приложение которое посылает post запросы на сервер (перед этим проходит авторизация на сервере). Как можно определить в php скрипте, что данные отправлены именно из моего приложения и вообще из приложения.
И как не надоедать пользователю требуя каждый раз авторизовываться.

Подойдет генерация какого-нибудь ключа. Но опять же вопрос, как его безопасно хранить и безопасно передавать его каждый раз на сервер, что-бы не было возможности его отснифать.

Буду рад любым предложениям и идеям.

Аватара пользователя
Leeroy
Сообщения: 67
Зарегистрирован: 12 дек 2013, 21:25

Re: Шифрование и защита передоваемых данных из приложения в

Сообщение Leeroy » 12 окт 2014, 18:35

куки, токен
Java Core -> JDBC -> GoF -> Android SDK ->...
Телепрограмма в твоем смарте Телепрограмма


Аватара пользователя
Ilia.Y
Сообщения: 23
Зарегистрирован: 30 окт 2014, 11:35
Откуда: Южно-Сахалинск
Контактная информация:

Re: Шифрование и защита передоваемых данных из приложения в

Сообщение Ilia.Y » 05 дек 2014, 15:30

Вопрос автора крайне актуален и для меня.

Я вижу решение таким.

В приложени логин и пароль пользователя шифруются md5 функцией.
записывается "кука" преферанс т.е. и так же записывается время жизни этой куки.
и логин пользователя в память устройства.

При запуске приложения проверяется если кука есть и время жизни еще не вышло, значит заходим на сервер.
Если кука мертвая или ее вообще нет - значит просим ввести логин и пароль.


На сервере так же ведется журнал выданных живых кук., если получилось так, что кто-то пытается зайти с мертвой кукой - значит его разворачиваем.
Если пользователь настоящий, с живо кукой - значит можно отправить команду на перезапись новой куки т.е. добавить ей время жизни еще пару дней. (а можно и не давать такой команды, значит пользователь так или иначе раз в 3 дня, например, будет вводить логин и пароль)


Да, конечно, куку могут украсть враги.. хм.. теоретически... и авторизоваться от имени пользователя...
но мне кажется тут нужно так рассуждать - в онлайн игрушках это впринципе не страшно, врятли кто-то будет заморачиваться.
А в приложениях посерьезней - можно ввести механизм "секретного кода" - это когда на любое "опасное" действие у пользователя спрашивается его секретный пароль (дополнительный, не тот что при авторизации указывается)

мне это видится как-то так.

Ответить