我们要开发一些安卓和ios客户端程序,服务端采用java web框架搭建,我们现在采用的http协议的接口有如下问题:
1.接口的安全性如何保障?如何保障调用的URL接口不被其他人恶意访问?
2.如何保存和验证用户的登录状态?客户端无法保存和向服务器发送sessionId,不方便用session
3.是否有其他更好的通讯协议可以推荐?或者如何在http协议下解决上述问题?
好评回答:
(1)安全性是https的不足,这是因为开始设计的时候没有考虑这个方面的需要;但是你可以使用:https协议,加密的,不会出现泄密问题
(2)登录状态是服务器保存的信息,客户端想服务器发送是很正常的事情;处理方法也很简单,就是生成一个ID,由客户端保存,请求服务时将id一并发送上去(https和http都是这样实现的),至于唯一性和保密性,你可以根据你的业务信息,按照特定的规则来生成,服务器可以在收到id后使用特定的方法验证是不是合法(生成规则当然可以是私密的);
(3)其实使用任何协议都可以满足安全问题,关键是你的数据如何处理,你可以在你的应用客户端中将通信数据加密后生成bcd码发送服务器;加密密码可以采用动态的;也就是根据需要同服务器进行协商自动生成,也可以在验证用户时分配。
在使用C/S方式处理的时候,因为存在客户端,很多功能都可以进行自行控制,很方便了,完全可以自己制定一些通信协议(所谓的协议本质上就是发送、接收和理解通信数据的特定的格式),那就更加保密了。
