我的应用程序有注册表单,它通过 HTTP headers 将数据发送到服务器
旨在寻找最简单的方法来保护我的 API 以防止垃圾邮件发送者注入(inject)注册 URL
例如,如果您转到 http://website.com/register.php?name=bla&email=bla@bla.bla
脚本会自动添加新用户,因为没有 key 或安全 token 来防止 URL 注入(inject)
知道如何在 android 中制作安全 token 吗?
最佳答案
你无能为力,如果有人反编译你的代码,他会找出你创建 token 的方式并使用该过程创建假 token 。尽管如此,这将增加一层保护,因为并不是每个人都熟悉反编译和逆向工程应用程序
您无法 100% 保护您的应用免受虚假注册,因为用户没有任何您可以检查的凭据。虚假注册并没有那么糟糕,因为它们不会对您造成太大的损害。
您可以限制虚假注册造成的损害
- 延迟每个注册响应 z 秒
- 不允许同一 ip 每分钟超过 x 个注册
- 每分钟不允许超过 y 次注册
我建议使用 https(http 是纯文本)来保护应用程序与服务器的通信,这样第三方就无法获取用户数据。这将加密 url 以及标题和内容,因此没有人会知道您的应用正在发送什么以及发送到哪个 url。只有反编译应用程序才能解决这个问题。
关于android - 如何保护 android 中的 http 数据(安全 token )?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/16324166/