我目前正在爲使用Phonegap(HTML + JS)和PHP爲服務器平臺開發Android應用程序。這裏是我當前的登錄過程:使用PHP + Phonegap進行用戶註冊的最佳實踐
- 我存儲在一個祕密的應用程序ID(我們稱之爲一個APP_ID)在後來將存儲在APK JavaScript文件
只要用戶想從註冊android應用程序,他/她需要輸入例如:電子郵件,密碼和他/她的性別。因此,應用程序將下列數據發送到服務器:
POST https://mywebsite.com/register.php?app_id=[MY_SECRET_APP_ID] &電子郵件= [EMAIL_ADDRESS] &密碼= PASSWORD] &性別= [ GENDER]
我也打算在我的網站上使用https。
我的問題是:
這樣安全嗎? 我有一個想法,也許有人可以猜測或使用特定的方法來獲得我的MY_SECRET_APP_ID,然後他/她可以做「註冊垃圾郵件」到我的服務器。
使用Phonegap的註冊方法是否有任何參考?
感謝您的回答
一般規則:假設客戶端上的任何內容都不安全 –
@JamieTaylor即使HTML + JS包裝在APK文件中?有沒有已知的方法來解壓APK文件並獲得應用程序的源代碼? –
也許,但是對於同一網絡上的某個人來說,加載[wireshark](http://www.wireshark.org/)並等待POST請求會更容易。不過你已經說過你在使用HTTPS,儘管我仍然不信任客戶端。 –