我是android开发的新手。我正在使用android studio来开发一个应用程序。我做过的事情
1.在MySQL中创建了一个包含两个表的DB。
1.为GET和POST方法创建了两个单独的api's。
1.已成功访问api's
我现在所取得的成就
1.能够将GET的数据形成GET api。
1.能够对POST数据使用POST api
我现在要做的
我希望我的api在线发布,也就是说,我希望将我的服务部署到服务器上并访问它们。此时,我可以将服务部署到服务器上并访问它们。
现在我希望我的服务(api's)是安全的。为此,我搜索了许多文章,找到了两种方法。
1.使用yii框架。有人告诉我使用它,因为它自动保护了api's。但我不知道它是否确实如此。
1.手动固定api's
至于点1的框架将是有帮助的,但它对我来说是新的,它将需要时间与它合作,因为我已经创建了Web服务。
对于点2,我得到了一些信息
- using HMAC_SHA1
- DETECTING MOBILE DEVICES USING PHP
这两个链接似乎是好的,但链接1并没有给我太多的信息。
显然我想保护我的两个api's
现在是代码部分
获取数据.php
require_once ('config.php');
$sql = "SELECT * FROM users";
$r = mysqli_query($con,$sql);
$result = array();
while($row = mysqli_fetch_array($r)){
array_push($result,array(
'Id'=>$row['Id'],
'Name'=>$row['Name']
));}返回一个数组('users'=〉$result));
POST_数据.php
require_once ('config.php');
$return_arr = array();
$UserId=($_POST['UserId']);
$Latitude=($_POST['Latitude']);
$Longitude=($_POST['Longitude']);
$DateTime=($_POST['DateTime']);
$user_register_sql1 = "INSERT INTO `activity`(`Id`,`UserId`, `Latitude`,`Longitude`,`DateTime`) values (NULL,'".$UserId."','".$Latitude."','".$Longitude."','".$DateTime."')";
mysqli_query ($con,$user_register_sql1);
$row_array['errorcode1'] = 1;我有一个user class,从中可以得到username和ID
JSON函数.java
此类负责从api获取数据
public static JSONObject getJSONfromURL(String url)
{
String json = "";
JSONObject jsonObject = null;
try
{
HttpClient httpClientt = new DefaultHttpClient();
HttpGet httpGet = new HttpGet(url);
HttpResponse httpResponse = httpClientt.execute(httpGet);
BufferedReader br = new BufferedReader(new InputStreamReader(httpResponse.getEntity().getContent()));
StringBuffer sb = new StringBuffer();
String line = "";
while ((line = br.readLine()) != null) {
sb.append(line);
}
json = sb.toString();
} catch (ClientProtocolException e) {
e.printStackTrace();
} catch (IOException e) {
e.printStackTrace();
}
try
{
jsonObject = new JSONObject(json);
} catch (JSONException e) {
e.printStackTrace();
}
return jsonObject;
}输出实用程序.Java
此类负责POST方法
public void setParam(String key, String value) {
params.put(key, value);
}
public String postData(String Url) {
StringBuilder sb = new StringBuilder();
for (String key : params.keySet()) {
String value = null;
value = params.get(key);
if (sb.length() > 0) {
sb.append("&");
}
sb.append(key + "=" + value);
}
try {
// Defined URL where to send data
URL url = new URL(Url);
URLConnection conn = null;
conn = url.openConnection();
// Send POST data request
httpConnection = (HttpURLConnection) conn;
httpConnection.setRequestProperty("Content-Type", "application/x-www-form-urlencoded");
httpConnection.setRequestMethod("POST");
httpConnection.setDoInput(true);
httpConnection.setDoOutput(true);
OutputStreamWriter wr = null;
wr = new OutputStreamWriter(conn.getOutputStream());
wr.write(sb.toString());
wr.flush();
BufferedReader in = new BufferedReader(
new InputStreamReader(httpConnection.getInputStream()));
String inputLine;
response = new StringBuffer();
while ((inputLine = in.readLine()) != null) {
response.append(inputLine);
}
in.close();
} catch (MalformedURLException e) {
e.printStackTrace();
} catch (IOException e) {
e.printStackTrace();
}finally {
try {
reader.close();
} catch (IOException e) {
e.printStackTrace();
}
}
return response.toString();
}主要活动.java
protected void onCreate(Bundle savedInstanceState) {
super.onCreate(savedInstanceState);
setContentView(R.layout.activity_main);
_latitude = (TextView)findViewById(R.id.latitude);
_longitude = (TextView)findViewById(R.id.longitude);
btn_get_coordinates = (Button)findViewById(R.id.button);
btn_save_data = (Button)findViewById(R.id.btn_save);
btn_save_data.setOnClickListener(new View.OnClickListener() {
@Override
public void onClick(View v) {
if(UserId.toString()== "" || Latitude.toString() == "" || Longitude.toString() == "" || DateTime.toString() == "")
{
Toast.makeText(getApplicationContext(), "Data Not Saved !!!! Please select appropriate data to save", Toast.LENGTH_SHORT).show();
}
new ServiceLogin().execute(UserId, Latitude, Longitude, DateTime);
}
});
// Download JSON file AsyncTask
new DownloadJSON().execute();
}
// Download JSON file AsyncTask
private class DownloadJSON extends AsyncTask<Void, Void, Void>
{
@Override
protected void onPreExecute() {
super.onPreExecute();
progressDialog = new ProgressDialog(MainActivity.this);
progressDialog.setMessage("Fetching Users....!");
progressDialog.setCancelable(false);
progressDialog.show();
}
@Override
protected Void doInBackground(Void... params) {
// Locate the Users Class
users = new ArrayList<Users>();
// Create an array to populate the spinner
userList = new ArrayList<String>();
// http://10.0.2.2:8000/MobileApp/index.php
//http://10.0.2.2:8000/app/web/users/
//http://192.168.100.8:8000/app/web/users/
// JSON file URL address
jsonObject = JSONfunctions.getJSONfromURL("http://192.168.100.9:8000/MobileApp/GET_DATA.php");
try
{
JSONObject jobj = new JSONObject(jsonObject.toString());
// Locate the NodeList name
jsonArray = jobj.getJSONArray("users");
for(int i=0; i<jsonArray.length(); i++)
{
jsonObject = jsonArray.getJSONObject(i);
Users user = new Users();
user.setId(jsonObject.optString("Id"));
user.setName(jsonObject.optString("Name"));
users.add(user);
userList.add(jsonObject.optString("Name"));
}
} catch (JSONException e) {
Log.e("Error", e.getMessage());
e.printStackTrace();
}
return null;
}
@Override
protected void onPostExecute(Void args)
{
// Locate the spinner in activity_main.xml
Spinner spinner = (Spinner)findViewById(R.id.spinner);
// Spinner adapter
spinner.setAdapter(new ArrayAdapter<String>(MainActivity.this, android.R.layout.simple_spinner_dropdown_item, userList));
// Spinner on item click listener
spinner.setOnItemSelectedListener(new AdapterView.OnItemSelectedListener() {
@Override
public void onItemSelected(AdapterView<?> parent, View view, int position, long id) {
textViewResult = (TextView)findViewById(R.id.textView);
// Set the text followed by the position
textViewResult.setText("Hi " + users.get(position).getName() + " your ID is " + users.get(position).getId());
UserId = String.valueOf(users.get(position).getId());
progressDialog.dismiss();
_latitude.setText("");
_longitude.setText("");
Latitude = null;
Longitude= null;
}
@Override
public void onNothingSelected(AdapterView<?> parent) {
textViewResult.setText("");
}
});
}
}由于我是新手,所以我不知道在php脚本中做什么,在我的Android代码中做什么:(。如果有人能指导我或给予我一个教程,我遵循这将是非常有帮助的。
任何帮助都将不胜感激。
7条答案
按热度按时间muk1a3rh1#
为了保护你的API,你需要一种机制来检测对API的请求是否来自一个可信的来源。
但是,您可以仅使用JSON Web Tokens (jwt)和PHP向您的API请求添加授权
从**this page了解基于令牌的身份验证。
请查看simple tutorial**,了解如何使用JWT保护PHP API端点。
如果您需要更高的安全性,您可能需要在API中添加OAuth提供程序服务。
23c0lvtd2#
唯一保护你的API的方法是让你的android请求是唯一的。从你的应用中收集更具体的数据。
1 -获取Android唯一ID -
然后通过你的api。
在您的php中,如果没有Android唯一ID(应随复杂变量名而变化),则拒绝访问。例如:
2 -在Android应用程序中创建您自己的随机变量
创建您自己的变量,以确定请求是否来自您的应用程序,例如:
并且通过你的请求传递这个值,当它到达php时进行验证。
如果未传递值或值错误,则拒绝请求。
3 -确保请求来自Android
我想推荐使用免费的最好的php库http://mobiledetect.net/检查它是否来自android和写拒绝功能无效滥用.
4 -通过PHP中的User-Agent字符串验证请求
并否认如果不是从android在php。
5 -记录攻击者
你需要跟踪是否有人破坏了你上面的一个证券。目前我正在使用ip-api.com来跟踪攻击者。
你需要用mysql insert编写拒绝函数。根据ip-api,你将得到
1-攻击者的IP
2-攻击者的地理位置
3-攻击者的ISP
所以你可以静态地拒绝它们。
它是关于安全使用你的api从android和几乎拒绝pc请求。但三是一个机会,打破你的应用程序与逆向工程,如dex 2 jar或ShowJava,并抓住你的简单数据结构。作为一个程序员,上述函数和代码是非常容易的,他们会得到假的数据输入。
因此,你不应该写一个程序与静态值,这样重要的链接“http://192.168.100.9:8000/MobileApp/GET_DATA.php“硬编码在您的应用程序.你应该分割数据,简单加密,并获得所有的主要网址动态上述安全php/mysql api方法.
如果你像2步动态系统一样覆盖,有非常非常少的机会打破你的系统。
我有一个重要的左说,如果你是使用封闭的用户组,你应该使用请求-〉批准系统为每个用户首次应用程序注册使用他们的唯一ID,并很容易拒绝从其他人访问.
rqqzpn5f3#
您可以在此处选择PHP的身份验证:
http://pear.php.net/packages.php?catpid=1&catname=Authentication
我认为基本或摘要式身份验证(+https://SSL与自签名证书)将是很好的选择为您的REST服务(PHP RESTful JSON API)。
对于Android应用程序,我认为RestClient库的最佳选择是:
http://square.github.io/retrofit/
(我建议您只保留一种语言的所有源代码-Java。您可以轻松地创建Java Rest Service并添加Spring安全验证)
wdebmtf24#
为了让第三方能够访问API,保护API是一个需要讨论的广阔领域。2最常用的保护API的机制是基于令牌的访问控制。3它可以通过多种方式实现。
首先你需要了解它是如何工作的。参考这个link和这个link。
然后试着看看如何实现它。
Working example of implementing 'Token Based Authentication' using 'JSON Web Token (i.e. JWT)' in PHP and MySQL?
如果您需要更深入的示例,也可以尝试link。
如果你需要更多的信息告诉我。
ilmyapht5#
使用Session控制机制的上述所有方法也都是为了相同的目的而说话的,简单的说就是使用加密的私钥来检测有效的源
p8h8hvxi6#
首先在构建gradle(app)中添加依赖项
实现'com.mcxiaoke.volley:library:1.0.16'然后执行下面的代码:
qv7cva1a7#
我会简单地说,如果你已经使用PHP OPP,那么没有必要去与任何框架。这将是耗时的你。解决方案是:“像laravel和yii一样使用remember_token系统。在过滤之前对每个方法进行身份验证。”如果您使用的是Core PHP。请尝试相同的代码,并在过滤API中的每个方法之前将其包含在内