Здравствуйте, форумчане!
Подскажите в какую сторону капать (желательно с примерами)
Есть приложение которое посылает post запросы на сервер (перед этим проходит авторизация на сервере). Как можно определить в php скрипте, что данные отправлены именно из моего приложения и вообще из приложения.
И как не надоедать пользователю требуя каждый раз авторизовываться.
Подойдет генерация какого-нибудь ключа. Но опять же вопрос, как его безопасно хранить и безопасно передавать его каждый раз на сервер, что-бы не было возможности его отснифать.
Буду рад любым предложениям и идеям.
Шифрование и защита передоваемых данных из приложения в php
Re: Шифрование и защита передоваемых данных из приложения в
куки, токен
Java Core -> JDBC -> GoF -> Android SDK ->...
Телепрограмма в твоем смарте Телепрограмма
Телепрограмма в твоем смарте Телепрограмма
- Ilia.Y
- Сообщения: 23
- Зарегистрирован: 30 окт 2014, 11:35
- Откуда: Южно-Сахалинск
- Контактная информация:
Re: Шифрование и защита передоваемых данных из приложения в
Вопрос автора крайне актуален и для меня.
Я вижу решение таким.
В приложени логин и пароль пользователя шифруются md5 функцией.
записывается "кука" преферанс т.е. и так же записывается время жизни этой куки.
и логин пользователя в память устройства.
При запуске приложения проверяется если кука есть и время жизни еще не вышло, значит заходим на сервер.
Если кука мертвая или ее вообще нет - значит просим ввести логин и пароль.
На сервере так же ведется журнал выданных живых кук., если получилось так, что кто-то пытается зайти с мертвой кукой - значит его разворачиваем.
Если пользователь настоящий, с живо кукой - значит можно отправить команду на перезапись новой куки т.е. добавить ей время жизни еще пару дней. (а можно и не давать такой команды, значит пользователь так или иначе раз в 3 дня, например, будет вводить логин и пароль)
Да, конечно, куку могут украсть враги.. хм.. теоретически... и авторизоваться от имени пользователя...
но мне кажется тут нужно так рассуждать - в онлайн игрушках это впринципе не страшно, врятли кто-то будет заморачиваться.
А в приложениях посерьезней - можно ввести механизм "секретного кода" - это когда на любое "опасное" действие у пользователя спрашивается его секретный пароль (дополнительный, не тот что при авторизации указывается)
мне это видится как-то так.
Я вижу решение таким.
В приложени логин и пароль пользователя шифруются md5 функцией.
записывается "кука" преферанс т.е. и так же записывается время жизни этой куки.
и логин пользователя в память устройства.
При запуске приложения проверяется если кука есть и время жизни еще не вышло, значит заходим на сервер.
Если кука мертвая или ее вообще нет - значит просим ввести логин и пароль.
На сервере так же ведется журнал выданных живых кук., если получилось так, что кто-то пытается зайти с мертвой кукой - значит его разворачиваем.
Если пользователь настоящий, с живо кукой - значит можно отправить команду на перезапись новой куки т.е. добавить ей время жизни еще пару дней. (а можно и не давать такой команды, значит пользователь так или иначе раз в 3 дня, например, будет вводить логин и пароль)
Да, конечно, куку могут украсть враги.. хм.. теоретически... и авторизоваться от имени пользователя...
но мне кажется тут нужно так рассуждать - в онлайн игрушках это впринципе не страшно, врятли кто-то будет заморачиваться.
А в приложениях посерьезней - можно ввести механизм "секретного кода" - это когда на любое "опасное" действие у пользователя спрашивается его секретный пароль (дополнительный, не тот что при авторизации указывается)
мне это видится как-то так.