访问Web服务时的Android应用程序安全性

Question

我正在构建需要与MySQL数据库进行通信的Android应用程序。该应用程序并不意味着要发布，我希望应用程序成为唯一允许与我将为数据库访问创建的Web服务接口的东西。

我一直在想如何保护系统，这是我想到的想法。我会很感激任何反馈或其他想法。当然，有一种内置于Android的方法，我不知道。

我的想法是给Web服务一个GUID。每次调用其中一个公共方法时，Web服务都会将其GUID与Android应用程序给出的GUID进行匹配。如果GUID不匹配，则Web服务拒绝访问。总之，我的系统有一个128位密码。

Answer 1

如果你信任个人管理你的数据库，那么一切都应该没问题。最重要的变化是所有这些通信都必须通过HTTPS完成。如果黑客看到这种流量，您的数据库将被黑客入侵。

我仍然使用用户名/密码组合来访问系统。我建议使用MySQL password()函数使用现有的mysql.users表。这个GUID听起来和cookie相同，我会认真考虑使用现有的会话处理系统，比如php的session_start()，而不是自己动手。重新发明风轮是不好的，特别是在安全方面。