我正在构建一个连接到服务器的小型Android应用程序。应用服务器通信协议
我的应用程序会使用简单的帖子向我的服务器发送消息,并且我正在使用Google Cloud Messaging让服务器向我的应用程序发送消息。
我构建了一个注册页面,一个电子邮件确认和一个连接页面,但现在我想知道如何锁定服务器和应用程序之间的通信。
这是我心目中的协议(让我们的应用程序的简单为例,以应用信息):
- 应用程序发送后的相关信息到服务器与自我的相关信息(如姓名和AUTH_TOKEN),目标用户该消息
- 服务器搜索属于目标用户的应用程序和使用
curl
将消息转发给GCM - GCM将消息发送到目标应用
服务器如何确定服务器收到的名称,auth_token等是否真的来自发件人?
但是,如果我不希望用户每发送一个消息输入凭据,那么我应该存储在手机上,这似乎不是一个好主意,没有关于这些证书? –
为什么不呢?我设计我的API与[这个SO答案](http://stackoverflow.com/questions/15602667/possible-approach-to-secure-a-rest-api-endpoints-using-facebook-oauth)记住 –
,因为密码将以纯文本形式存储,所以任何拥有扎根设备的人(如我)基本上都会向全世界展示他们的密码......请参阅此链接回答:http://stackoverflow.com/a/786588/3888000 –