我正在构建一个需要与 MySQL 数据库通信的 Android 应用程序。该应用程序不打算发布,我希望该应用程序是唯一允许与我将为数据库访问创建的 Web 服务交互的东西。
我一直在思考如何保护系统,这就是我想出的主意。我将不胜感激任何反馈或其他想法。肯定有一种我不知道的内置于 Android 的方法。
我的想法是为网络服务提供一个 GUID。每次调用其中一个公共(public)方法时,Web 服务都会将其 GUID 与 Android 应用程序提供给它的 GUID 进行匹配。如果 GUID 不匹配,Web 服务将拒绝访问。简而言之,我的系统有一个 128 位密码。
最佳答案
如果您信任个人来管理您的数据库,那么一切都应该没问题。最重要的变化是所有这些通信都必须通过 HTTPS 完成。如果黑客看到此流量,您的数据库将被黑客入侵。
我仍然会使用用户名/密码组合来访问系统。我建议将现有的 mysql.users 表与 MySQL password() 函数一起使用。这个 GUID 听起来与 cookie 相同,我会认真考虑使用现有的 session 处理系统,例如 php 的 session_start() 而不是自己动手。重新发明 wheal 是不好的,尤其是在安全方面。
关于访问 Web 服务时的 Android 应用程序安全性,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/3409106/