作者sing10407 (阿U)
看板AndroidDev
標題[問題] 給Mobile開發者用的 api 設計?
時間Sun Jan 31 21:23:45 2016
大家好
目前我們的專案會需要提供api給android開發者,想問一下一些安全的設計:
目前專案會提供 JSON 或 XML 格式給開發者,
但我一直有一個想不通的問題,
就是這樣 Hacker 如果知道這個api用法,那不就能無限次的try嗎?
簡單說,在web開發時,在進去一些頁面時,可以使用session來避免掉無權限登入的問題
但在android call web api的設計下,大家是如何做安全性設計的呢?
目前想到的是: user登入後,由server給一組token,
每次存取某權限才能存取的api時,都要先確認token正確性
但是想到還要管理token,就越想越複雜
不知道大家是怎麼實做的呢?
PS. 後端開發是使用 ASP.NET MVC, SERVER是使用Azure
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 61.231.201.250
※ 文章網址: https://webptt.com/m.aspx?n=bbs/AndroidDev/M.1454246629.A.164.html
※ 編輯: sing10407 (61.231.201.250), 01/31/2016 21:24:51
1F:推 MIM23: Android也能實作session阿 01/31 22:33
2F:→ MIM23: 沒詢問過你們家的mobile工程師嗎... 01/31 22:35
原來如此,那我再看一下 感謝
※ 編輯: sing10407 (61.231.201.250), 01/31/2016 22:38:36
3F:→ ssccg: web的session在通常就只是http cookie中存一個session id 02/01 01:47
4F:→ ssccg: 不管在哪個平台用http都可以用session啊 02/01 01:48
5F:→ nOhiTmE: oauth? 02/01 02:12
6F:推 kewang: 你已經說出答案了,另外注意服務變大的話可以用cache管理 02/01 05:19
7F:→ y3k: 你也可以參考Amazon的那種hash check方式 02/01 09:55
8F:→ y3k: 雖然前陣子我被他搞過大概一天 但是不失為一種不錯的機制 02/01 09:56
9F:→ manaup: 通道加密 secretkey accesslimit 都要做啊 02/01 23:28
10F:→ manaup: 只要是放在公開網路上的東西就要做保護 這不是基本的嗎 02/01 23:29
11F:→ riverless: 一般作法是帶token token算法只有你們知道 02/02 15:46
12F:推 kiwatami: 至少存取頻率要限制在一定的量 例如一分鐘內 02/02 21:51
13F:→ kiwatami: 同一個使用者只能要求幾次 02/02 21:51
14F:→ kiwatami: 在幾秒鐘內重複要求超過次數要delay x*2的n次方毫秒 02/02 21:51
15F:→ kiwatami: 不然真的會一下就爆預算 02/02 21:51
16F:推 iamsewei: 想問一下 所謂的session 是不是一串字串啊... 02/05 16:43
17F:推 kiwatami: 字串應該是指session id吧 用來判斷是哪個session的 02/06 10:27
18F:→ kiwatami: 要求 02/06 10:27
19F:→ kiwatami: 你可以把session當成一個連線者 不論他有沒有登入 02/06 10:27
20F:→ kiwatami: server端都會建立一個對應的session存在記憶體內 02/06 10:27
21F:→ kiwatami: 而登入後再存入一個標記表示已登入 02/06 10:27
22F:→ kiwatami: 這時依據這個id使用者要求需要登入的連線時 02/06 10:27
23F:→ kiwatami: 就不用再次登入 因為server端知道這個連線來源已登入 02/06 10:27
24F:→ kiwatami: 除了登入之外還可以紀錄其他資訊 02/06 10:27