我正在草拟一个解决方案,其中 Android 应用程序连接到网络上的 REST API。用户应该能够创建一个配置文件,然后对该配置文件执行某些请求(更改名称、电子邮件等)。四处搜索类似的问题,从大部分答案中得出了对私钥/公钥解决方案的建议。
这个人很好地解释了这个过程: http://www.thebuzzmedia.com/designing-a-secure-rest-api-without-oauth-authentication/
这个过程完全取决于私钥确实是私密的前提。而且我没有找到任何解决这个问题的答案。但是,如果服务器和客户端必须拥有相同的私钥,那么它必须在某个时候在双方之间传输,这将不可避免地暴露给监视流量的人。那么有没有一种安全的方法可以在双方之间建立相同的私钥呢?
另外一个问题,当客户端(安全地)获取到私钥后,应该如何保存呢?像 Shared Preferences 这样的东西足够安全吗?我担心的是具有 root 访问权限的人可以轻松访问它。
最佳答案
只需使用 TLS建立安全连接。
关于java - 使用 Android 设备通过 REST API 保护身份验证?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/9362801/