保護服務器端頁面的移動應用程序

Question

我正在構建一個需要服務器端處理的移動應用程序。我已經使用LAMP創建了服務器端，應用程序使用URL來調用各自的PHP頁面來請求數據。例如註冊我創建了signup.php和應用程序調用signup.php來驗證應用程序的登錄憑據。我也有PHP腳本來說拉產品信息的用戶正在請求的產品。目前這些PHP頁面可以公開訪問，即使它們會返回一個空白頁面。但是，如何確保這些PHP頁面僅可用於我的移動應用程序？我如何使它更安全？

此外，手機上的用戶只需註冊一次。一旦註冊，他會一直保持登錄狀態，直到他卸載該應用程序。

Answer 1

你可以做什麼，是每個設備認證。當用戶在應用程序中註冊時，應用程序使用憑據向服務器發送請求。如果憑證正常，則生成一個唯一的散列。您可以將此散列存儲在用戶附近 - 直接存儲到用戶表或關聯的表（取決於是否允許多個設備簽名給一個用戶）。這個散列將隨着每個請求發送到服務器。根據哈希查找用戶，並知道您正在處理的是誰。

這個散列可以在一段時間內重新生成（您向設備發送新的散列並再次存儲它）。

此外，您可以使用某個祕密密鑰爲每個請求創建一個校驗和。你也可以在服務器上創建校驗和並進行比較。請注意，如果密鑰存儲在代碼中，任何人都可以得到它。該密鑰也可以從服務器發送。

這可能很明顯，服務器應該在HTTPS上。