0
應用程序如何向服務器驗證自身?比方說,我發佈了一個可以連接到我的web服務器的android應用程序。應用程序驗證
有沒有什麼方法可以保證客戶使用我所做的應用程序,而不是第三方?我認爲有可能進行反向工程以獲取我的應用程序的源代碼(看起來proguard並非完全安全),因此第三方可以輕鬆讓應用程序冒用我的應用程序。
TLS/SSL是否解決了這個問題,如果是這樣,怎麼辦?我可以要求客戶端向我的服務器發送來自受信任的權威機構的證書,從而將認證責任落在可信任的權威機構上。但是,這在實踐中如何工作?比方說,我生產的自簽名證書,我添加到服務器信任庫。我如何安全地將這些分發給應用用戶?
也許我在這裏錯過了一些基本的東西,但是任何指向正確方向的東西都會有所幫助!
在用戶身份驗證期間,還可能包括整個應用程序的散列,然後將其與服務器上存儲的散列進行比較,如何?但是當然會出現這樣的問題 - 我將如何從應用程序中生成整個應用程序的散列? :) – Cartaya
此外,什麼會保持哈希*你的*應用程序的壞人,並將其值的協議身份驗證?他們正在模擬線路協議,但不是你的實現。 –
你是對的,它沒有解決任何問題.. – Cartaya