tools - developer android com console



Spring boot REST api security per Android App utilizzando Google+Facebook login (1)

Ans: 1 / api / signin al momento dell'app di accesso invierà le informazioni dell'utente al server e il server genererà un token e questo token tornerà indietro nel modo in cui l'app può salvare questo token che può essere modificato di volta in volta. puoi usare qualsiasi libreria http per servizi web come volley, retrofit ecc.

campi che devi memorizzare in db: userId, userName, userToken.

Risposta: 2 / api / offerte / è possibile controllare l'ID utente dell'utente in db se esiste lì quindi si invierà msg già presente nella risposta al servizio web.

Risposta: 3 usa l'implementazione SSL per il tuo servizio web che sarebbe molto sicuro, e come hai detto che userai il token per ogni utente sarà accessibile solo per l'utente autenticato.

Nota: - Il token dovrebbe cambiare ogni 30 minuti o qualsiasi altra volta che vuoi renderà più sicura la tua autenticazione.

https://code.i-harness.com

Sto costruendo un'applicazione con 2 livelli: -

1. App nativa per Android : contiene la possibilità di accedere tramite Facebook + Google per rendere meno doloroso l'accesso.

2. Java Server utilizzando Spring Boot : endpoint MVC tipici come REST api + schermate di amministrazione dell'interfaccia utente.

Le parti di accesso di Facebook ( FacebookSdk ) e Google ( GoogleApiClient ) funzionano e sono testate utilizzando le seguenti dipendenze di Android: -

dependencies {
   compile 'com.facebook.android:facebook-android-sdk:4.6.0'
   compile 'com.google.android.gms:play-services-auth:9.0.0'
   ....

}

API saggio abbiamo: -

/api/signin : viene chiamato quando un utente accede correttamente a Facebook + Google e crea una voce in una tabella di database degli users .

Esiste anche una serie di altri endpoint API, ad esempio le offerte

/api/offers/<user_id> - restituisce le offerte a un utente già registrato.

Non sono sicuro del modo migliore in cui:

  1. In che modo l'app Android fa chiamate API a / api / signin REST endpoint (ovvero quali intestazioni ecc. Possono essere inviate a ciò che presumibilmente è un endpoint senza sicurezza perché gli utenti non registrati lo colpiranno). Inoltre, quali campi sono OK per salvare nella tabella db degli users ?

  2. In che modo l'app Android fa chiamate API ad esempio / api / offerte / a utenti già registrati? vale a dire quando i token ecc devono passare all'app Android?

  3. Il modo migliore per la sicurezza di primavera per proteggere questi endpoint.

Supponendo che OAuth 2 sia la strada da percorrere, qualsiasi consiglio / suggerimento sarà più apprezzato.