我们正在为Android构建一个游戏,它需要访问Web服务 - 所以我们用PHP编写了一个在我们自己的服务器上运行的RESTful API。API提供的是:创建用户,登录,下载游戏,检索游戏列表,提交分数等。现在我在想,如果一些有经验的用户获得API的URL格式 - 他/她将能够以多种方式丢弃系统:
现在,我该如何防止此类滥用行为?
我认为您将永远无法隐藏应用程序调用的URL(如果我运行的是root-ed Android手机,我应该能够监视所有网络流量)
但你真正的问题是你需要以某种方式验证你的api。
一种方法是实现OAUTH,但也许这有点过分了。
如果你想要一个简单的机制,怎么样?
只要秘密仍然是秘密,没有人可以伪造您的请求。
示例(在伪代码中):
安卓端:
SECRET_KEY = "abc123"
def call_api_with_secret(url, params)
# create the hash to sign the request
hash = MD5.hash(SECRET_KEY, url, params)
# call the api with the added hash
call_api(url+"&hash=#{hash}", params)
end
服务器端:
SECRET_KEY = "abc123"
def receive_from_api(url, params)
# retrieve the hash
url_without_hash, received_hash = retrieve_and_remove_hash(url)
# check the hash
expected_hash = MD5.hash(SECRET_KEY, url_without_hash, params)
if (expected_hash != received_hash)
raise our exception!
end
# now do the usual stuff
end
其他人在这里提出的解决方案被称为通过晦涩的安全。基本上,他们试图模糊协议并隐藏实现。这可能会起作用,直到有足够能力的人反汇编应用程序并对协议进行逆向工程。黑客在这方面非常有能力。
问题是你的应用是否值得破解?像iTunes,DVD或Sony PS3网络这样的方案显然值得付出努力。如果没有人能够破解护理,那么晦涩的方法可能会起作用。只是不要自欺欺人,认为这是不可行的。
由于您无法信任设备或应用程序,因此必须信任用户。为了信任用户,需要用户识别和授权系统。基本上是登录到您的应用程序。与其滚动你自己的识别系统(使用确认电子邮件登录等),不如使用第三方系统:OpenID(谷歌帐户)或OAuth(Facebook,twitter)。在Facebook的情况下,使用服务器端身份验证方案。
我会做什么:
