- ข้อความ
- ประวัติศาสตร์
So the only way to truly protect th
So the only way to truly protect that URL is by requiring all requests to it be authenticated.
One way to do this is change your request to a POST request and send along some sort of auth token (a simple hash will do) with the request. If the auth token isn't present, simply don't respond to the request. The hash would be something you'd hardcode into both the client and server.
Now the question is how to hide your auth token. As long as you're not open sourcing your code, the only way for someone to get at it would be to decompile your program as you mentioned. To guard against this you might want to look into using proguard (http://developer.android.com/guide/developing/tools/proguard.html).
Something to keep in mind is that this method contains a single point of failure. If your auth token is ever exposed, you're done for (e.g. the HD DVD AACS cryptographic key debacle).
One other way to authenticate is on a per-user basis. As long as a valid user is making a request, you shouldn't really care whether or not the request is coming from the web browser or android app. I think this is a much better way of doing things. By doing this, you can throttle requests on a per-user basis. This however requires you to manage user profiles and the whole can of worm that comes along with it.
All that said, at the end of the day though you shouldn't really care if somebody knows the url to a portion of your API. I don't know your particular use case, but there's got to be a way to design your API so that you don't care how you're getting your requests. Also, if your doing a true GET, then you shouldn't be changing anything on the server. This means that all the 'malicious person' can do is get data off of it. This severely limits the damage they can do. In fact, unless you have sensitive data that you don't want certain people to look at, you don't really have a problem at all. If you do, then you should really think about my per-user authentication solution.
One way to do this is change your request to a POST request and send along some sort of auth token (a simple hash will do) with the request. If the auth token isn't present, simply don't respond to the request. The hash would be something you'd hardcode into both the client and server.
Now the question is how to hide your auth token. As long as you're not open sourcing your code, the only way for someone to get at it would be to decompile your program as you mentioned. To guard against this you might want to look into using proguard (http://developer.android.com/guide/developing/tools/proguard.html).
Something to keep in mind is that this method contains a single point of failure. If your auth token is ever exposed, you're done for (e.g. the HD DVD AACS cryptographic key debacle).
One other way to authenticate is on a per-user basis. As long as a valid user is making a request, you shouldn't really care whether or not the request is coming from the web browser or android app. I think this is a much better way of doing things. By doing this, you can throttle requests on a per-user basis. This however requires you to manage user profiles and the whole can of worm that comes along with it.
All that said, at the end of the day though you shouldn't really care if somebody knows the url to a portion of your API. I don't know your particular use case, but there's got to be a way to design your API so that you don't care how you're getting your requests. Also, if your doing a true GET, then you shouldn't be changing anything on the server. This means that all the 'malicious person' can do is get data off of it. This severely limits the damage they can do. In fact, unless you have sensitive data that you don't want certain people to look at, you don't really have a problem at all. If you do, then you should really think about my per-user authentication solution.
0/5000
ดังนั้น วิธีเดียวที่จะป้องกัน URL ที่แท้จริงคือ โดยต้องร้องขอทั้งหมดจะสามารถรับรองความถูกต้องวิธีหนึ่งที่จะทำคือ เปลี่ยนการร้องขอการร้องขอการลงรายการบัญชี และส่งไปตามการเรียงลำดับของโทเค็นรับรองความถูกต้อง (จะทำการแฮง่าย) กับการร้องขอ ถ้าโทเค็นการรับรองความถูกต้องที่ไม่ เพียงแค่อย่าตอบสนองการร้องขอ แฮจะเป็นสิ่งที่คุณต้องการ hardcode ในไคลเอนต์และเซิร์ฟเวอร์ตอนนี้ คำถามคือ วิธีการซ่อนการโทเค็นการรับรองความถูกต้องของคุณ ตราบใดที่คุณไม่ได้เปิดหารหัสของคุณ วิธีเดียวสำหรับการที่มันจะถอดโปรแกรมของคุณ ตามที่คุณกล่าวถึง เพื่อป้องกัน คุณอาจต้องดูโดยใช้รองเท้า (http://developer.android.com/guide/developing/tools/proguard.html)สิ่งที่ต้องจำไว้คือว่า วิธีนี้ประกอบด้วยจุดเดียวของความล้มเหลว ถ้าเคยสัมผัสโทเค็นการรับรองความถูกต้องของคุณ คุณกำลังทำเพื่อ (เช่น AACS ดีวีดี HD เข้ารหัสลับคีย์ debacle)หนึ่งวิธีรับรองความถูกต้องอยู่บนพื้นฐานต่อผู้ใช้ ตราบใดที่ผู้ใช้ต้องทำการร้องขอ คุณไม่ควรจริง ๆ ดูแลหรือไม่มาการร้องขอจากเว็บเบราว์เซอร์หรือแอป android ผมคิดว่า วิธีนี้เป็นวิธีที่ดีกว่าการทำสิ่ง โดยการทำเช่นนี้ คุณสามารถเค้นคำขอบนพื้นฐานต่อผู้ใช้ อย่างไรก็ตามสิ่งนี้คุณสามารถจัดการส่วนกำหนดค่าผู้ใช้ และทั้งหมดสามารถของหนอนที่มาพร้อมกับมันทั้งหมดที่กล่าวว่า ที่สุดของวันแม้ว่าคุณไม่ควรสนใจจริง ๆ ถ้าใครรู้ url กับส่วนของ API ของคุณ ไม่ทราบใช้ในกรณีเฉพาะของคุณ แต่มีได้จะเป็นวิธีที่จะออกแบบ API ของคุณเพื่อให้คุณไม่สนใจวิธีการที่คุณได้รับคำขอของคุณ ด้วย ถ้าคุณทำจริงได้รับ แล้วคุณไม่ควรเปลี่ยนแปลงอะไรบนเซิร์ฟเวอร์ ซึ่งหมายความว่าสามารถทำได้ทั้งหมด 'ที่เป็นอันตรายบุคคล' คือ ได้รับข้อมูลออกจากมัน วิธีนี้ช่วยจำกัดความเสียหายที่พวกเขาสามารถทำรุนแรง ในความเป็นจริง ถ้าคุณไม่มีข้อมูลสำคัญที่คุณไม่ต้องการให้บางคนดู คุณไม่จริง ๆ มีปัญหาทั้งหมด ถ้าคุณทำได้ แล้วคุณควรจริง ๆ คิดเกี่ยวกับโซลูชั่นการรับรองความถูกต้องผู้ใช้ของฉัน
การแปล กรุณารอสักครู่..
ดังนั้นวิธีเดียวที่จะปกป้องอย่างแท้จริงมี URL ที่เป็นโดยการกำหนดให้การร้องขอทั้งหมดมันได้รับการรับรองความถูกต้อง. วิธีหนึ่งที่จะทำเช่นนี้คือการเปลี่ยนคำขอของคุณเพื่อการร้องขอ POST และส่งพร้อมจัดเรียงของโทเค็นการรับรองความถูกต้องบางส่วน (กัญชาง่ายจะทำ) มีการร้องขอ . ถ้าโทเค็นการรับรองความถูกต้องไม่เป็นปัจจุบันก็ไม่ได้ตอบสนองต่อการร้องขอ กัญชาจะเป็นสิ่งที่คุณต้องการ hardcode ทั้งไคลเอ็นต์และเซิร์ฟเวอร์. ตอนนี้คำถามคือวิธีการซ่อนโทเค็นการตรวจสอบสิทธิ์ของคุณ ตราบใดที่คุณไม่ได้เปิดการจัดหารหัสของคุณเพียงวิธีเดียวสำหรับคนที่จะได้รับมันจะแยกโปรแกรมของคุณในขณะที่คุณกล่าวถึง เพื่อป้องกันการนี้คุณอาจต้องการที่จะมองในการใช้ Proguard (http://developer.android.com/guide/developing/tools/proguard.html). สิ่งที่ต้องเก็บไว้ในใจก็คือว่าวิธีนี้มีจุดเดียวของความล้มเหลว ถ้าโทเค็นการรับรองความถูกต้องของคุณไม่เคยสัมผัสที่คุณกำลังทำเพื่อ (เช่น HD DVD AACS น้ำท่วมคีย์การเข้ารหัส). อีกวิธีหนึ่งในการตรวจสอบอยู่บนพื้นฐานต่อผู้ใช้ ตราบใดที่ผู้ใช้ที่ถูกต้องจะทำให้คำขอคุณไม่ควรจริงๆดูแลหรือไม่ว่าการร้องขอมาจากเว็บเบราเซอร์หรือ Android app ที่ ผมคิดว่านี่เป็นวิธีที่ดีมากในการทำสิ่ง โดยทำเช่นนี้คุณสามารถเค้นร้องขอบนพื้นฐานต่อผู้ใช้ แต่คุณนี้ต้องใช้ในการจัดการโปรไฟล์ผู้ใช้และสามารถทั้งหมดของหนอนที่มาพร้อมกับมัน. ทั้งหมดที่กล่าวในตอนท้ายของวันที่แม้ว่าคุณไม่ควรจริงๆดูแลถ้าใครรู้ URL ที่จะเป็นส่วนหนึ่งของ API ของคุณ ผมไม่ทราบว่ากรณีการใช้งานของคุณโดยเฉพาะ แต่มีก็เป็นวิธีการออกแบบ API ของคุณเพื่อให้คุณไม่สนใจว่าคุณจะได้รับการร้องขอของคุณ นอกจากนี้ถ้าทำจริงได้รับของคุณแล้วคุณไม่ควรจะมีการเปลี่ยนแปลงอะไรในเซิร์ฟเวอร์ ซึ่งหมายความว่าทุกคนที่ 'คนที่เป็นอันตราย' สามารถทำได้คือการได้รับข้อมูลที่ออกจากมัน นี้อย่างรุนแรง จำกัด ความเสียหายที่พวกเขาสามารถทำได้ ในความเป็นจริงถ้าคุณมีข้อมูลที่สำคัญที่คุณไม่ต้องการให้คนบางคนจะมองไปที่คุณไม่ได้จริงๆมีปัญหาที่ทุก ถ้าคุณทำแล้วคุณควรคิดเกี่ยวกับวิธีการแก้ปัญหาของฉันรับรองความถูกต้องต่อผู้ใช้
การแปล กรุณารอสักครู่..
ดังนั้น หนทางเดียวที่จะปกป้อง URL อย่างแท้จริง โดยให้ทุกหน้ามันได้รับการรับรองทางหนึ่งที่จะทำนี้คือการเปลี่ยนแปลงที่คุณจะขอโพสต์ขอและส่งตามบางจัดเรียงของ AUTH Token ( สับง่ายจะทำ ) ที่มีการร้องขอ ถ้ารับรองความถูกต้อง Token ไม่ใช่ปัจจุบันก็ไม่ตอบสนองต่อการร้องขอ กัญชาเป็นสิ่งที่คุณจะ hardcode เป็นทั้งลูกค้าและเซิร์ฟเวอร์ตอนนี้คำถามคือวิธีการซ่อนตั๋วตรวจสอบสิทธิ์ของคุณ ตราบใดที่คุณยังไม่เปิดการจัดหารหัสของคุณ วิธีเดียวสำหรับคนที่จะได้รับมันที่จะ decompile โปรแกรมของคุณตามที่คุณกล่าวมา เพื่อป้องกันนี้คุณอาจต้องการที่จะมองเข้าไปในการใช้ proguard ( http : / / Android Developer . com / คู่มือ / การพัฒนา / เครื่องมือ / proguard . html )สิ่งที่ต้องระลึกไว้เสมอคือว่าวิธีนี้มีจุดเดียวล้มเหลว ถ้าตั๋วตรวจสอบสิทธิ์ของคุณที่เคยสัมผัส คุณก็ทำได้ ( เช่น HD DVD AACS คีย์เสียหาย )หนึ่งวิธีอื่น ๆเพื่อตรวจสอบบนพื้นฐานต่อผู้ใช้ ตราบใดที่ผู้ใช้ที่ถูกต้อง คือ ขอเอง คุณไม่ควรสนใจหรือไม่ขอกำลังจากเว็บเบราเซอร์หรือ Android app ฉันคิดว่านี้เป็นวิธีที่ดีมากของการทำสิ่งต่างๆ โดยการทำเช่นนี้คุณจะสามารถเค้นรับประทานอาหารบนพื้นฐานต่อผู้ใช้ อย่างไรก็ตามต้องให้คุณจัดการโปรไฟล์ผู้ใช้และทั้งหมดสามารถของหนอนที่มาพร้อมกับมันทั้งหมดที่กล่าวว่าในตอนท้ายของวันแม้ว่าคุณไม่ได้จริงๆดูแลถ้าใครรู้ URL ไปยังส่วนของ API ของคุณ ไม่รู้กรณีการใช้งาน แต่ต้องมีวิธีการออกแบบ API เพื่อให้คุณไม่สนใจว่าคุณจะได้รับการร้องขอของคุณ นอกจากนี้ หากทำได้จริง แล้วคุณไม่ควรจะเปลี่ยนแปลงอะไรบนเซิร์ฟเวอร์ ซึ่งหมายความว่าทุกคน " " ที่เป็นอันตรายสามารถทำได้ คือ ได้รับข้อมูลที่ออกจากมัน นี้อย่างรุนแรง จำกัด ความเสียหายที่พวกเขาสามารถทำ ในความเป็นจริง ถ้าคุณมีข้อมูลที่สำคัญที่คุณไม่ต้องการให้คนอื่นดู ไม่น่าเป็นปัญหาที่ทุก ถ้าคุณทำแล้วคุณควรคิดเกี่ยวกับต่อโซลูชั่นการตรวจสอบผู้ใช้
การแปล กรุณารอสักครู่..
ภาษาอื่น ๆ
การสนับสนุนเครื่องมือแปลภาษา: กรีก, กันนาดา, กาลิเชียน, คลิงออน, คอร์สิกา, คาซัค, คาตาลัน, คินยารวันดา, คีร์กิซ, คุชราต, จอร์เจีย, จีน, จีนดั้งเดิม, ชวา, ชิเชวา, ซามัว, ซีบัวโน, ซุนดา, ซูลู, ญี่ปุ่น, ดัตช์, ตรวจหาภาษา, ตุรกี, ทมิฬ, ทาจิก, ทาทาร์, นอร์เวย์, บอสเนีย, บัลแกเรีย, บาสก์, ปัญจาป, ฝรั่งเศส, พาชตู, ฟริเชียน, ฟินแลนด์, ฟิลิปปินส์, ภาษาอินโดนีเซี, มองโกเลีย, มัลทีส, มาซีโดเนีย, มาราฐี, มาลากาซี, มาลายาลัม, มาเลย์, ม้ง, ยิดดิช, ยูเครน, รัสเซีย, ละติน, ลักเซมเบิร์ก, ลัตเวีย, ลาว, ลิทัวเนีย, สวาฮิลี, สวีเดน, สิงหล, สินธี, สเปน, สโลวัก, สโลวีเนีย, อังกฤษ, อัมฮาริก, อาร์เซอร์ไบจัน, อาร์เมเนีย, อาหรับ, อิกโบ, อิตาลี, อุยกูร์, อุสเบกิสถาน, อูรดู, ฮังการี, ฮัวซา, ฮาวาย, ฮินดี, ฮีบรู, เกลิกสกอต, เกาหลี, เขมร, เคิร์ด, เช็ก, เซอร์เบียน, เซโซโท, เดนมาร์ก, เตลูกู, เติร์กเมน, เนปาล, เบงกอล, เบลารุส, เปอร์เซีย, เมารี, เมียนมา (พม่า), เยอรมัน, เวลส์, เวียดนาม, เอสเปอแรนโต, เอสโทเนีย, เฮติครีโอล, แอฟริกา, แอลเบเนีย, โคซา, โครเอเชีย, โชนา, โซมาลี, โปรตุเกส, โปแลนด์, โยรูบา, โรมาเนีย, โอเดีย (โอริยา), ไทย, ไอซ์แลนด์, ไอร์แลนด์, การแปลภาษา.
- This is just for fun best description ge
- that was close
- วันนี้แดดมีแดดแรง
- But I thought you want the same.If you d
- ฉันไม่รู้เหมือนกัน
- งั้นเธอต้องสอนน้องสาวเธอ
- Skip to contentHOMEACTIVE INDEXCOMPLETE
- But I thought you want the same.If you d
- 吉富さんお疲れ様です。豊田です。SDTよりロットコップで新規立ち上げを行った装置
- Fundamentally,
- Position applied
- For example, since patients with a histo
- 直接来
- I went to the religious ceremony yesterd
- schedule
- I want to see what kind of gas cylinder
- 直接来
- Rico เป็นสุนัขพันธุ์อะไร
- ถ้าคุณมีความสนใจจะรับความเสี่ยงภัยนี้
- I have upgraded MS Office for K.Ladawan
- fell upon him, bringing out a big MISS,
- Yes, we can arrange this free of charge
- Cheah
- สนใจสมัครงานติดต่อสอบถามได้ที่ ฝ่ายทรัพย
