웹 서비스에 액세스 할 때 Android 애플리케이션 보안

Question

MySQL 데이터베이스와 통신해야하는 Android 애플리케이션을 구축 중입니다. 응용 프로그램은 게시 될 예정이 아니므로 응용 프로그램 만 DB 액세스를 위해 만들 웹 서비스와 인터페이스 할 수 있어야합니다.

나는 시스템을 안전하게 할 수있는 방법을 생각해 왔으며 이것이 내가 생각해 낸 아이디어이다. 의견이나 다른 아이디어에 감사드립니다. 확실히 알지 못하는 Android에 내장 된 메소드가 있습니다.

제 생각에는 웹 서비스에 GUID를 부여하는 것입니다. 그것들 중 하나에 대한 호출이 public 메서드가 될 때마다 웹 서비스는 GUID를 안드로이드 응용 프로그램에 의해 제공된 GUID와 일치시킵니다. GUID가 일치하지 않으면 웹 서비스가 액세스를 거부합니다. 간단히 말해, 제 시스템에는 128 비트 암호가 있습니다.

Answer 1

개인을 관리 데이터베이스로 신뢰할 수 있으면 모든 것이 잘되어야합니다. 가장 중요한 변화는이 모든 통신이 HTTPS를 통해 이루어져야한다는 것입니다. 해커가이 트래픽을 보면 데이터베이스가 해킹 당할 수 있습니다.

나는 아직도 시스템에 액세스하기 위해 사용자 이름/암호 조합을 사용합니다. MySQL password() 함수가있는 기존 mysql.users 테이블을 사용하는 것이 좋습니다. 이 GUID는 쿠키와 동일하게 들리지만, PHP를 직접 롤링하는 대신 PHP의 session_start()과 같은 기존 세션 처리 시스템을 사용하는 것을 진지하게 고려할 것입니다. 특히 보안에 관해서, wheal을 다시 발명하는 것은 나쁘다.