我有一个用 PHP 编写的 API,它通过接收 HTTP POST 请求来工作,然后该 API 将处理该请求并输出一些 XML。
我有一个与此 API 成功通信的 Android 应用程序。
我的问题是如何确保安全? 我正在研究使用 OAuth,但对于 PHP,它使用了一个我无法使用的库。 另外,由于 API 不是公开的,只能由我创建的外部应用程序使用,这似乎有点矫枉过正。
您还会推荐哪些其他建议?我正在考虑将 API key /签名与 POST 请求一起发送。
最佳答案
应该像确保 javascript 调用安全一样来完成。你使用 session 。您应该能够发送和接收 header ,为什么不接受类似 cookie 的数据呢?至少 session_id
。如果您使用对称身份验证,使用 SSL 保护开放 wifi 热点也将非常有益。
OAuth 有一个不同的目的 - 当您的网站开始托管用户想要使用的第三方应用程序而不给该应用程序自己的密码时。
关于php - Android 到 PHP API 安全,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/9892788/