Android zu PHP API Sicherheit

Question

Ich habe eine API in PHP geschrieben, die durch Empfangen von HTTP POST-Anfragen arbeitet, die API wird dann die Anfrage verarbeiten und etwas XML ausgeben.

Ich habe eine Android-Anwendung, die mit dieser API erfolgreich kommuniziert.

Meine Frage ist, wie mache ich das sicher? Ich habe mit OAuth gearbeitet, aber für PHP verwendet es eine Bibliothek, die mir nicht zur Verfügung steht. Plus, da die API nicht öffentlich ist und nur von externen Anwendungen, die von mir erstellt wurden, verwendet wird, scheint dies ein bisschen übertrieben.

Welche anderen Vorschläge würden Sie empfehlen? Ich habe versucht, einen API-Schlüssel/Signatur zusammen mit der POST-Anfrage zu senden.

Vielen Dank.

Answer 1

Es sollte genauso gemacht werden, wie Sie Javascript-Aufrufe sicher machen. Sie verwenden Sitzungen. Sie sollten in der Lage sein, Header zu senden und zu empfangen. Warum akzeptieren Sie keine cookie-ähnlichen Daten? Mindestens session_id. Das Sichern mit SSL für offene WLAN-Hotspots wäre auch sehr nützlich, wenn Sie eine symmetrische Authentifizierung verwenden.

OAuth hat einen anderen Zweck - es ist, wenn Ihre Website beginnt, Anwendungen von Drittanbietern zu hosten, die Benutzer verwenden möchten, ohne dieser App ein eigenes Kennwort zu geben.