[問題] 給Mobile開發者用的 api 設計?

作者sing10407 (阿U)

看板AndroidDev

標題[問題] 給Mobile開發者用的 api 設計?

時間Sun Jan 31 21:23:45 2016

大家好目前我們的專案會需要提供api給android開發者，想問一下一些安全的設計: 目前專案會提供 JSON 或 XML 格式給開發者，但我一直有一個想不通的問題，就是這樣 Hacker 如果知道這個api用法，那不就能無限次的try嗎? 簡單說，在web開發時，在進去一些頁面時，可以使用session來避免掉無權限登入的問題但在android call web api的設計下，大家是如何做安全性設計的呢? 目前想到的是: user登入後，由server給一組token，每次存取某權限才能存取的api時，都要先確認token正確性但是想到還要管理token，就越想越複雜不知道大家是怎麼實做的呢? PS. 後端開發是使用 ASP.NET MVC， SERVER是使用Azure -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 61.231.201.250 ※ 文章網址: https://www.ptt.cc/bbs/AndroidDev/M.1454246629.A.164.html ※ 編輯: sing10407 (61.231.201.250), 01/31/2016 21:24:51

推 MIM23: Android也能實作session阿 01/31 22:33

→ MIM23: 沒詢問過你們家的mobile工程師嗎... 01/31 22:35

原來如此，那我再看一下感謝 ※ 編輯: sing10407 (61.231.201.250), 01/31/2016 22:38:36

→ ssccg: web的session在通常就只是http cookie中存一個session id 02/01 01:47

→ ssccg: 不管在哪個平台用http都可以用session啊 02/01 01:48

→ nOhiTmE: oauth? 02/01 02:12

推 kewang: 你已經說出答案了，另外注意服務變大的話可以用cache管理 02/01 05:19

→ y3k: 你也可以參考Amazon的那種hash check方式 02/01 09:55

→ y3k: 雖然前陣子我被他搞過大概一天但是不失為一種不錯的機制 02/01 09:56

→ manaup: 通道加密 secretkey accesslimit 都要做啊 02/01 23:28

→ manaup: 只要是放在公開網路上的東西就要做保護這不是基本的嗎 02/01 23:29

→ riverless: 一般作法是帶token token算法只有你們知道 02/02 15:46

推 kiwatami: 至少存取頻率要限制在一定的量例如一分鐘內 02/02 21:51

→ kiwatami: 同一個使用者只能要求幾次 02/02 21:51

→ kiwatami: 在幾秒鐘內重複要求超過次數要delay x*2的n次方毫秒 02/02 21:51

→ kiwatami: 不然真的會一下就爆預算 02/02 21:51

推 iamsewei: 想問一下所謂的session 是不是一串字串啊... 02/05 16:43

推 kiwatami: 字串應該是指session id吧用來判斷是哪個session的 02/06 10:27

→ kiwatami: 要求 02/06 10:27

→ kiwatami: 你可以把session當成一個連線者不論他有沒有登入 02/06 10:27

→ kiwatami: server端都會建立一個對應的session存在記憶體內 02/06 10:27

→ kiwatami: 而登入後再存入一個標記表示已登入 02/06 10:27

→ kiwatami: 這時依據這個id使用者要求需要登入的連線時 02/06 10:27

→ kiwatami: 就不用再次登入因為server端知道這個連線來源已登入 02/06 10:27

→ kiwatami: 除了登入之外還可以紀錄其他資訊 02/06 10:27