Реализуешь метод шифрования на клиенте, а на сервере метод расшифровки (и наоборот, если надо от сервера получить респонс), и вот у тебя уже строка вида:
Это самый простой метод передачи данных через строку URL. Если он не подходит, то надо либо думать как передать данные через другие протоколы (SFTP к примеру), либо вообще колхозить VPN, но это намого сложнее, да и не все клиенты это понимают. А чем POST шифрование то не устраивает? 99% API от Googel, Facebook и пр. им пользуются. Ну и что, что видно, это же абракадабра, и никто посторонний прочитать что там зашифровано и передать данные на API не может.
AlexVWill, я ищу способ как скрыть доступ к своему апи на случай декомпеляции и компроментирования моего приложения, таким образом я хочу сделать что то вроде аутентификации своего приложения на стороне сервера. Таким образом я хочу отправить какие-то данные которые знает только приложение и сервер и сравнивать их, но так как пост запрос можно прочитать в логах, то ищу способ как это можно сделать скрытым образом от посторонних лиц.
Chesterfield25, так я же написал как, зашифрованные данные можно смело передать в открытом виде, всеравно, даже в случае попадания этих данных в третьи руки никто прочесть что там не сможет.
Я так понимаю, что тебе рано кодить что-то на эту тему, почитай книжку по криптографии, многие вопросы отпадут, в том числе почему можно использовать метод POST и как подписать приложение APK. Я же тебе ссылки дал на крипто в андроид, прочитай хотя бы это сначала.
так я же написал как, зашифрованные данные можно смело передать в открытом виде, всеравно, даже в случае попадания этих данных в третьи руки никто прочесть что там не сможет.
Представьте ситуацию вы создали приложение которое отправляет такой пост запрос, после чего ваше апи даёт доступ в случае верного пост запроса или отказывает в доступе в случае неверного пост запроса.
А я человек который решил создать точно такое же приложение и более того работать не со своим апи а с вашим, декомпелировав ваше приложение мне даже не нужно читать что в вашем запросе передаётся, мне достаточно оставить все как есть! Вот в чем проблема, более того отправить пост запрос я могу хоть из браузера, хоть с любого другого сайта и получить доступ к вашему апи.
Для новостного приложения заморачиваться может и не стоит, но в случае с приложением которое производит транзакции это не безопасно
А я человек который решил создать точно такое же приложение и более того работать не со своим апи а с вашим, декомпелировав ваше приложение мне даже не нужно читать что в вашем запросе передаётся, мне достаточно оставить все как есть!
Ты, чтонибудь слышал про одноразовые токены? А также про шифрование с открытым ключом. Строка, справедливая здесь и сейчас для конкретного пользователя (с конкретной учеткой), через 5 минут или для другого пользователя будет уже неактуальная.
Еще раз настоятельно посоветую прочитать что-то по теме. Хотя бы то, на что я сослался.
Chesterfield25, никак ты не скроешь использование апи, даже если не будет каких то там логов (хз откуда они там берутся). Можно посмотреть какие эндпоинты используются и что передается в теле запроса тупо заснифав трафик между приложением и бэком.
