최소 침습적 방법은 고유 어떻게 고유 있도록 응용 프로그램을 설치 한 사용자 식별 할 수있는 안드로이드 사용자

Question

를 식별 :

1. 당신은 그들이 삭제하고 응용 프로그램을 다시 설치하는 경우가 그들을 알고 것이다;
2. 그들이 동시에 사용할 두 번째 장치에 앱을 설치하는 경우 알 수 있습니다.

예를 들어 Netflix 앱이 사용자 상호 작용없이 데스크톱 계정에 자동으로 연결되는 것을 볼 수 있습니다. 나는 권한이 필요하기 때문에 accountManager.getAccounts() 또는 유사한 방법을 사용한다고 추측합니다. 물론 허가는 Protection level: dangerous으로 표시되어 있습니다. 덜 침습적이거나 위험 할 수있는 방법이 있습니까?

---

이 대답에 대한 열쇠는 간단하고 (사용자의 경우) 최소 침습적 인 것입니다. Android는 사용자를 식별 할 수있는 방법을 제공하며 사용자의 개인 정보를 피싱하는 많은 방법을 제공합니다. 이것이 유일한 방법 인 경우 지금하고있는 일 (선택 사항 인 이메일 등록)을 수행 할 것입니다. 난 단지 내 애플 리케이션 사용자 (사용자 이름/비밀 번호, 이메일 주소, 제 3 자 OAuth 등)를 인터뷰하지 않고 설치 전반에 걸쳐 내 시스템에 등록 된 경우 알 수있는 방법을 원한다.

내 주요 이유는 다음과 같습니다

1. 나는 다시 설치 한 후에 그 내용을 분리 된 사용자의 지원 요청을하지 않는다; 및
2. 고아가 된 콘텐츠를 많이 호스팅하고 싶지 않습니다.

Answer 1

Firebase Authentication을 살펴보십시오. 그것은 매우 매끄럽고 통합하는데 많은 노력을 필요로하지 않습니다. 또한 최종 사용자에게는 방해가되거나 성 가실 것 같지 않습니다.

여기 Google에서 video tutorial입니다.

편집 : 사용자가 전화 번호와 휴대 장치가 확신하는 경우 , 당신은 AccountKit를 사용할 수 있습니다. OTA (일회 인증)라고도 불립니다. AccountKit은 사용자 전화 번호만으로 사용자를 확인하고 유효성을 검사합니다.

편집 : 중포 기지 인증 지금 AccountKit는 위에서 언급 한 유사하다 '전화 인증'을 제공합니다. 둘 다 좋은 서비스입니다. 그러나 Firebase phone verification을 사용하면 자신 만의 UI를 처음부터 만들 수 있습니다. 이는 AccountKit보다 훨씬 잘 제어 할 수 있습니다. 또한 UI를 만들고 싶지 않으면 언제든지 사용할 수 있습니다. FirebaseUI

Answer 2

가장 좋은 방법은 Google 또는 Facebook으로 로그인을 구현하는 것입니다. 이는 사용자에게는 매우 매끄럽고 안전하며 (Google 및 Facebook은 신뢰할 수있는 것으로 간주 됨) 전자 메일 등록을 구현할 필요가 없으며 여러 기기에서 신원을 확인할 수 있습니다.

Answer 3

앱이 Android 전용이고 사용자 계정을 만들지 않고 신원을 제공하려면 Google 계정 이름 Android 휴대 전화에서 Google 계정을 사용해야하므로/id가 가장 좋습니다 (Accessing Google Account Id /username via Android). 루트가 아닌 한 Google Play 서비스를 삭제해야합니다.당신은 당신의 질문의 첫 번째 점을 해결하려는 경우

장치 ID가있다 (다시 설치 한 후 확인) - Secure.getString(getContext().getContentResolver(), Secure.ANDROID_ID); 그것을 100 % 신뢰할 수 없습니다 비록

Answer 4

표준에 대한을 (철 공장 재설정이 값을 재설정) 이러한 종류의 기능을 구현하려면 표준적인 편안한 API 트래픽과 함께 JSON web tokens (JWT)을 사용해야합니다.

귀하의 안드로이드 응용 프로그램이 모든 crudlike 작업 및 비즈니스 논리에 대해 RESTful API와 상호 작용한다고 가정하면 API에 대한 인증 식별자로 JWT를 사용하면 상당히 잘 작동 할 수 있습니다. 각 JWT에 정보를 임베드하여 원하는 것을 식별 할 수 있습니다 (데이터베이스의 사용자 ID, 로그인 한 사용자의 장치 ID 등). JWT는 본질적으로 API에서 사용할 정보를 저장할 수있는 데이터 구조입니다. 이것이 어떻게 작동하는지에 대한

일부 기본 : 응용 프로그램로 JWT를 얻기

1. : 사용자 이름/암호를 사용하여 응용 프로그램에서 사용자가 로그인. api는 이후의 모든 요청에 ​​대해 클라이언트가 사용할 암호화 된 JWT를 반환합니다. 자신을 암호화하려고 시도하지 마십시오. api 서비스를 처리 할 수있는 모든 언어 에는이 라이브러리가 있습니다.

2. JWT의 정보 사용 : JWT 자체는 데이터 구조입니다. 이 요청 헤더를 통해 인증을 공급하면

   { user_id: 1, device_id: 44215, device_os: android, }

   귀하의 API는 JWT의 암호를 해독하며, 다음 세션의 상황에서 사용할 수있는 정보를 가지고 예를 들어, 다음과 같을 수 있습니다.

api에서 사용하는 언어를 제공하면 라이브러리를 추천 할 수 있습니다.

사용자는 기본적으로 제출 한 최종 요구 사항을 참조하여 설치 전반에 걸쳐 사용자와 인터뷰 할 필요가 없다고 결론을 맺습니다. 사용자가 의미를 이해하고 사용자가 단순히 응용 프로그램을 설치하고 인증 자격 증명을 제공하지 않고 응용 프로그램을 사용하기를 원한다면이를 안전하게 수행 할 방법이 없습니다. 해킹 된 방식으로 작동하도록 만들 수는 있지만 근본적으로 불안정합니다.

Answer 5

푸시 알림에 의해 당신의 것과 거의 비슷하게 보이는 무언가를 구현했습니다. 사용자가 내 앱을 제거하면 (그리고 등록 ID에서 사용자를 얻는다) 오류가 발생할 수 있으며, 재설치하면 새 등록을 얻습니다 id, 다른 장치에 대한 사용자 UUID를 얻으려고 시도하십시오.

Answer 6

가장 간단한 방법은 UUID를 사용하고 sharedPreferences에 해시를 저장하는 것입니다. 앱에서 가능한 한 빨리 UUID를 생성해야합니다.

sharedPrefs = context.getSharedPreferences(APP_SHARED_PREFS,Activity.MODE_PRIVATE); 
if (sharedPrefs.getString("YOUR-KEY-TO-THE-UUID") == null || "".equals(sharedPrefs.getString("YOUR-KEY-TO-THE-UUID"))){ 
    prefsEditor = sharedPrefs.edit(); 
    prefsEditor.putString("YOUR-KEY-TO-THE-UUID", UUID.randomUUID().toString()); 
    prefsEditor.commit(); 
}