Cómo hacer que mis servicios web alojados sean accesibles solo desde mi aplicación de Android

Lo que estás haciendo es una forma de DRM. Cuando la aplicación cliente tiene la capacidad de acceder a la API, y el atacante puede tener en sus manos la aplicación cliente, el atacante puede aprender lo que haga la aplicación cliente para acceder a la API. No hay forma posible de prevenirlo por completo. Pero hay formas de mitigar el problema.

Tener un secreto o certificado de cliente puede elevar un poco el listón, pero cualquier persona con su aplicación puede desmontarlo y extraer el secreto o certificado, en cuyo caso podrán simular la aplicación. También puede enviar actualizaciones que cambien el secreto y obliguen a sus usuarios a actualizar, lo que obliga a otras aplicaciones copycat a actualizar. Pero eso molestará a sus usuarios.

Probablemente el mejor enfoque es integrarse con la suscripción de Google / API IAP [1] si está cobrando por su aplicación. Si no está cobrando, puede usar la API de autenticación de Google para verificar que realmente exista un usuario en particular y solicitar un inicio de sesión en su aplicación. Si usa OAuth, al menos debería poder controlar la página de inicio de sesión, por lo que si alguien más intentara usar su API, la página mostraría el nombre de su aplicación en lugar del suyo.

Entonces necesitaría limitar a cada usuario a una cantidad razonable de uso para un solo usuario. De lo contrario, un actor malintencionado podría seguir el proceso de comprar una sola copia de su aplicación, iniciar sesión y luego extraer credenciales válidas que podrían usar con su API.

Puedes subir mucho el listón y puedes limitar el daño. Pero no es posible evitar por completo que alguien use su API.

Notas al pie

[1] API de desarrollador de Google Play

AndroidAplicacionesDesarrolloDesarrollo de aplicacionesPHPSeguridadServicios webweb

Related Content

¿Cuál es la diferencia entre una aplicación y una aplicación beta?

¿Puede el PlayBook de BlackBerry ejecutar efectivamente aplicaciones de Android?

¿Cuáles son los juegos de Android más valorados?

¿Cuál es la mejor aplicación para aprender a programar en Android?

En términos no técnicos, ¿hay cosas que los desarrolladores de terceros pueden hacer en Android que no pueden hacer en iOS porque Android es de código abierto?

Cómo guardar y conservar datos de una vista de lista en Android

¿Cuáles son algunas de las mejores aplicaciones de Android para leer libros gratis?

De hecho, estoy mirando hacer algo similar.

Estaba considerando usar certificados del lado del cliente para bloquear el acceso a dispositivos específicos. De esta manera, el tráfico se cifra y el dispositivo debe autenticarse en el servidor web.

Estaría ejecutando una CA para tener mi propio certificado ‘root’ para mi organización de todos modos, por lo que emitir y agregar certificados adicionales no es un problema.

Sin embargo, aún no he investigado los requisitos / detalles al respecto.

Sean Tizoc Spires

Si la aplicación proporciona toda la interfaz de usuario, en el caso más simple, puede usar la autenticación básica a través de HTTP / SSL (“https”) y realizar solicitudes desde la aplicación a la lógica del lado del servidor que a su vez accede a una base de datos y devuelve información para representar o de otra manera guiarse por. No habría páginas web en absoluto.

Peter Kujawski

Para hacer eso, debe diseñar algún tipo de mecanismo que contendrá una información única en el servicio web y en la aplicación, luego, si alguien intenta conectarse a su servicio, no tendrá la clave única y no poder acceder al servicio web.

Si está utilizando una autenticación basada en token, puede agregar un requisito a cada solicitud de que se debe pasar un client_secret, y si el client_secret de la aplicación móvil coincide, entonces está listo.

Caroline

More Interesting

¿SwiftKey es un método de entrada más rápido que Swype / SlideIT?

¿Cuáles son los mejores juegos (gratis) en Google Play?

¿Cuál es la mejor aplicación de notas que se puede guardar en la tarjeta SD y no habrá ningún tipo de problema si almaceno muchos archivos en la aplicación de notas?

¿Cuáles son los modelos de ingresos para aplicaciones gratuitas de Android?

¿Qué tan factible es crear una aplicación de Android popular, como un juego u otro, solo?

Cómo rectificar desafortunadamente el marcador se ha detenido

Cómo emitir una pantalla de Android en una computadora portátil

¿Existe una aplicación para Android / iOS que proporcione información sobre los suplementos y su dosis personalizada?

¿Cuál es la mejor aplicación de reproductor de música gratuita en Android sin anuncios?

¿Qué hay de nuevo en Android Nougat?

¿Existe una aplicación de presupuesto con opción de factura dividida?

¿Cuál es la mejor solución para desarrollar una aplicación de Android que reproduzca música en sistemas de sonido a través de WiFi?

10,000 dispositivos Android con la misma aplicación llegan a un servidor cada 30 segundos. ¿Cómo lo manejo?

Muchas grabadoras de llamadas en Android no graban claramente la voz de la otra parte. ¿Cuál es la mejor grabadora de llamadas gratis en Android?

Cómo hacer fácilmente el desarrollo de aplicaciones Java

Web Analytics