安卓（ios）到PHP API安全

Question

我正在爲使用php的Android做一個RESTful API設計。正因爲如此，我創建了PHP API，它將進入我的數據庫並根據調用的方法/函數提供特定的數據。
但看完一些教程後，我遇到一些quetions，我無法找到解決我的問題problem.my一個好方法是如下：

我1.how可以保持我的API和Android之間的會話換句話說，如果用戶通過android登錄系統，我該如何維護會話？有些使用PHPSESSID和其他人使用userid（由api返回），哪個更好？

我2.how可以保護我的API被濫用？我發現很多使用apikey

我3.how可以保護用戶的惡意篡改數據？這關係到我的第一個問題，如果我使用userid維護我的API和android之間的會話，基於此，即使我使用apikey，惡意用戶也可以篡改他的userid到其他人，所以他會得到其他人的信息。

我受夠了，所以請幫助我？

Answer 1

我建議您閱讀關於HMAC身份驗證。

1. 您將不會維護會話...每個請求都會在請求頭中發送一些令牌數據。

2. 你可以在它上面工作，想方設法保護你的服務器。最重要的想法是遵循最佳實踐，並且當您的軟件在生產中時常檢查日誌。

3. 使用HMAC或類似的方法。

您需要改變主意，不要存儲會話，並遵循API最佳做法。我的好主意是閱讀instagram，臉譜，g +和gdrive文檔，看看他們是如何做的。