[問題] 給Mobile開發者用的 api 設計?
大家好
目前我們的專案會需要提供api給android開發者,想問一下一些安全的設計:
目前專案會提供 JSON 或 XML 格式給開發者,
但我一直有一個想不通的問題,
就是這樣 Hacker 如果知道這個api用法,那不就能無限次的try嗎?
簡單說,在web開發時,在進去一些頁面時,可以使用session來避免掉無權限登入的問題
但在android call web api的設計下,大家是如何做安全性設計的呢?
目前想到的是: user登入後,由server給一組token,
每次存取某權限才能存取的api時,都要先確認token正確性
但是想到還要管理token,就越想越複雜
不知道大家是怎麼實做的呢?
PS. 後端開發是使用 ASP.NET MVC, SERVER是使用Azure
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 61.231.201.250
※ 文章網址: https://www.ptt.cc/bbs/AndroidDev/M.1454246629.A.164.html
※ 編輯: sing10407 (61.231.201.250), 01/31/2016 21:24:51
推
01/31 22:33, , 1F
01/31 22:33, 1F
→
01/31 22:35, , 2F
01/31 22:35, 2F
原來如此,那我再看一下 感謝
※ 編輯: sing10407 (61.231.201.250), 01/31/2016 22:38:36
→
02/01 01:47, , 3F
02/01 01:47, 3F
→
02/01 01:48, , 4F
02/01 01:48, 4F
→
02/01 02:12, , 5F
02/01 02:12, 5F
推
02/01 05:19, , 6F
02/01 05:19, 6F
→
02/01 09:55, , 7F
02/01 09:55, 7F
→
02/01 09:56, , 8F
02/01 09:56, 8F
→
02/01 23:28, , 9F
02/01 23:28, 9F
→
02/01 23:29, , 10F
02/01 23:29, 10F
→
02/02 15:46, , 11F
02/02 15:46, 11F
推
02/02 21:51, , 12F
02/02 21:51, 12F
→
02/02 21:51, , 13F
02/02 21:51, 13F
→
02/02 21:51, , 14F
02/02 21:51, 14F
→
02/02 21:51, , 15F
02/02 21:51, 15F
推
02/05 16:43, , 16F
02/05 16:43, 16F
推
02/06 10:27, , 17F
02/06 10:27, 17F
→
02/06 10:27, , 18F
02/06 10:27, 18F
→
02/06 10:27, , 19F
02/06 10:27, 19F
→
02/06 10:27, , 20F
02/06 10:27, 20F
→
02/06 10:27, , 21F
02/06 10:27, 21F
→
02/06 10:27, , 22F
02/06 10:27, 22F
→
02/06 10:27, , 23F
02/06 10:27, 23F
→
02/06 10:27, , 24F
02/06 10:27, 24F