• Android安全-数据安全3-通信安全


    Android安全-数据安全3-通信安全

    1.对敏感数据进行传输时应该采用基于SSL/TLS的HTTPS进行传输。由于移动软件大多只和固定的服务器通信,我们可以采用“证书锁定”(certificate pinning)方式在代码更精确地直接验证服务器是否拥有某张特定的证书。实现“证书锁定”的方法有二种:一种是实现X509TrustManager接口,另一种则是使用keystore。具体可以参考Android开发文档中的HttpsURLConnection类的概述。

    2.登录验证和传输内容加密

    (1) 服务器接收到app发送的用户名和密码后,验证用户名和密码是否正确。
    如果错误则返回错误信息。如果验证正确,生成一个随机的不重复的token字符串(例如"daf32da456hfdh"),在redis或memcache中维护一个映视表,建立token字符串和用户信息的对应关系表,例如,把token字符串"daf32da456hfdh"和用户id"5"对应起来。

    (2) 服务器把token字符串返回给app,app把这个token字符串保存起来,作为登录的验证。

    (3) 当需要验证用户身份的操作时,必须要把token字符串传给服务器验证身份。
    例如,api "test.com/user/update"是更新用户的信息,必须要验证用户的身份.当调用api "test.com/user/update"时,把token字符串"daf32da456hfdh"放在url上,变成"test.com/user/update?token=daf32da456hfdh" .
    当服务器接收到这个api请求,知道要验证用户身份的,于是,就把参数中token的值"daf32da456hfdh"取出来,在(1)中建立的token字符串和用户信息的对应关系表查找,如果发现没这个token值的,则返回验证失败的信息。如果发现有这个token值,则获取这个用户的信息,进行相关的更新操作。
    (4) 当用户退出登录时,需要通过调用api,让服务器把这个用户对于的token字符串删除.
    例如,api "test.com/user/logout"是退出登录的api,也要验证用户身份, 则调用"test.com/user/logout?token=daf32da456hfdh" 。当服务器接到退出登录的api请求时,在(1)中建立的token字符串和用户信息的对应关系表查找token字符串,把token和用户信息都删除即可。

    (5)加密登录和传输数据

       整个过程如下:

    1、用户名密码 + https + url签名(url+时间戳+随机字串)链接+请求时间+保唯一的字串
    2、服务器返回token:aes(约定算法)=》(token+随机secret(就取上面那个签名中的16位))
    3、app保存token后,以后每次机通信都通过  aes (token + 内容)  传输

  • 相关阅读:
    24-反转链表
    23-链表中环的入口节点
    22-链表中倒数第k个节点
    21-调整数组顺序使奇数位于偶数前面
    18-删除链表的节点
    17-打印从1到最大的n位数
    16-数值的整数次方
    15-二进制中1的个数
    14-剪绳子
    13-机器人的运动范围
  • 原文地址:https://www.cnblogs.com/harry335/p/5194917.html
Copyright © 2020-2023  润新知