我正在编写一个通过 HTTPS 与服务器应用程序进行通信的 Android 应用程序。在服务器端,我必须绝对确定 Android 应用程序的完整性。这意味着服务器应用程序需要确保它与我开发的 Android 应用程序通信,而不是与重写的应用程序通信(例如,在反编译原始应用程序后或在对设备进行 root 后)。
有可能确保这一点吗?也许apk文件的签名有可能?
任何提示表示赞赏。
问候,
彼得
您正在尝试解决一个已知问题:
您永远无法信任开放设备(手机、台式电脑)上的应用程序。为了信任它,它应该是防篡改的。此类设备的一个示例是智能卡。移动设备当然不是。
您永远不应该将数据发送到用户不应该看到的设备。这意味着所有的业务逻辑都必须在服务器上完成。
对服务器的所有请求都应使用用户凭据(用户名/密码)进行身份验证,并通过安全协议 (HTTPS/SSL) 进行。
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)