如何在Ruby和Android應用程序之間加密和解密數據？

Question

我一直在使用Ruby on Rails開發一個Web服務器應用程序，並且使用Android開發一個客戶端應用程序。 Web服務器有一些路由到客戶端訪問，沒有身份驗證。我想創建一個令牌來驗證請求是否來自客戶端。我想這樣一個解決方案：

1. 創建一個鍵，例如，「計算器;
2. 分享此鍵在客戶端和服務器應用程序;
3. 使用AES加密與生成令牌生成隨機字符串函數+鍵;
4. 當客戶端應用程序被髮送到服務器的請求，也送所生成的令牌;如果令牌是有效的或不使用所述共享密鑰和AES加密
5. 服務器驗證

。

這裏是我的疑惑：

1. 這是發展它們之間的通信的最佳方式？
2. 是否有gem/api crypt和解密在兩個系統中使用？

請不要猶豫來形容建議或例子來引導我=）

在此先感謝

Answer 1

一個更加安全和標準的方式是使用SSL客戶端證書。

爲每個新版本的應用程序發佈一個客戶端證書，確保它使用只有您或您的簽名CA擁有私鑰的證書（即CA證書）進行簽名。

在允許連接之前設置您的Web服務器以要求客戶端證書。設置Web服務器以再次驗證您持有的CA證書的證書。

這種方式沒有「共享的祕密」，可以從您的應用程序中提取。如果有人提取並竊取客戶端證書，請使用新證書發佈應用的更新版本，然後將舊證書添加到您的CA撤銷列表中，或者僅告訴Web服務器阻止該證書。

沒有紅寶石，Java或JavaScript代碼要寫。