我想从一个新的Android项目开始,因此我需要一个集中式数据库。因为反编译java并获得数据库连接非常容易。对于我的项目,我需要读/写访问权限。
我的想法是用php创建一个API,并从Android查询网站。
我看到的问题是,如果有人知道 API 的 url,他可以修改数据库......
所以我的问题是,如何保护我的基于 php 的 API 免受未经授权的访问?
研究请求签名,或像oAuth这样的预先存在的平台。
您可以提供像OAuth或HTTP签名这样的保护,这是最简单的方法,但HTTP签名在这里并不是很好,因为它太简单了。
您还可以使用设备已知的私钥,例如应用中的硬编码。但是,如果有人找到此密码,您的保护就结束了。
您还可以检查HTTP标头以禁用某些用户代理,但"黑客"可以对其进行更改。