我有两个问题。。。他们都是关于安卓应用程序的安全问题。。
-
从我的应用程序中,照片被发送到我的ftp服务器,所以我需要存储ftp、用户和通行证。最好的方法是什么?我很惊讶通过逆向工程可以很容易地从代码中读取这些值。。我在考虑共同的偏好,但我认为这不是enouhg。。。或者向我的服务器发送请求,然后返回到ftp服务器(这是第二个问题的一部分:)
-
在应用程序中,a与php服务器通信(创建订单,然后在应用程序内创建biling,最后确认订单已经支付……我必须在android和php之间编写安全通信……(现在android通过post方法将json数据发送到php服务器……所以如果有人把数据的url和json格式搞砸了……他可以创建ordef并确认它)。。应用程序中没有登录或注册过程。。我在考虑安卓系统上的公钥和服务器上的私钥的不对称密码学。。或者SSL是一种解决方案。。我很困惑,所以欢迎任何建议。。
我不知道如何保护应用程序,因为apk的反向工程是可能的。。
-
不使用FTP,而是为您的应用程序创建简单的API,允许发布图像。这将是一个更好、更安全的解决方案。Android几乎没有内置的HTTP POST请求方法。
-
SSL只保护两者之间的通信。大多数常见的应用程序都不将密码存储在文件中,只需使用API请求来验证凭据并获取令牌,这些令牌将在将来的请求中使用。您可以设置此令牌的超时,并为每个设备创建一个令牌。这要安全得多,因为取消令牌比通知用户密码泄露更容易:)使用众所周知的解决方案,如上述具有身份验证令牌的公钥(使用私钥生成的令牌+设备指定的数据,如DeviceID等)。不要存储密码,即使是加密的密码。