Можно ли передать запрос без чтения в логах?

Question

[Chesterfield25]

Не секрет, что все запросы которые работают с API легко читаемые, особенно в логах. Можно ли отправить POST запрос с приложения, чтобы он не читался?

Comments

[illuzor]

Чего?

[AlexVWill]

Поясни, ты о чем?

что бы он не четался?

или не чесался? ;)

[Chesterfield25]

Что бы нельзя было увидеть что именно передаётся в пост запрос.

[AlexVWill]

Chesterfield25, можно, конечно.
Для этого используются библиотеки шифрования-расшифрования.
Допустим тебе надо передать POST такого содержания:

https://api.mysite.com/tokeninfo?id_token=Vasya-Pupkin-The-best-hacker-in-the-world

Реализуешь метод шифрования на клиенте, а на сервере метод расшифровки (и наоборот, если надо от сервера получить респонс), и вот у тебя уже строка вида:

https://api.mysite.com/tokeninfo?id_token=zGfsoWclWf3oHsVI6DPvQJoxYR0yDYvFxw35jBuIxrfA5RclWA-35

Как это сделать вот тут указано: https://developer.android.com/guide/topics/securit...

PS: поправь свой пост, запредельное число орфографических ошибок на единицу информации.

[Chesterfield25]

AlexVWill, но в логах все равно будет видно что на сервер отправляется эта часть

zGfsoWclWf3oHsVI6DPvQJoxYR0yDYvFxw35jBuIxrfA5RclWA-35

а мне нужно что бы это не было видно вообще!

[AlexVWill]

Chesterfield25,

а мне нужно что бы это не было видно вообще!

методом POST это не сделать, т.к. в передаче этим методом подразумевается, что передача данных идет через HTTP, т.е. по заголовкам Content-Type.
https://developer.mozilla.org/en-US/docs/Web/HTTP/...

Это самый простой метод передачи данных через строку URL. Если он не подходит, то надо либо думать как передать данные через другие протоколы (SFTP к примеру), либо вообще колхозить VPN, но это намого сложнее, да и не все клиенты это понимают. А чем POST шифрование то не устраивает? 99% API от Googel, Facebook и пр. им пользуются. Ну и что, что видно, это же абракадабра, и никто посторонний прочитать что там зашифровано и передать данные на API не может.

[Chesterfield25]

AlexVWill, я ищу способ как скрыть доступ к своему апи на случай декомпеляции и компроментирования моего приложения, таким образом я хочу сделать что то вроде аутентификации своего приложения на стороне сервера. Таким образом я хочу отправить какие-то данные которые знает только приложение и сервер и сравнивать их, но так как пост запрос можно прочитать в логах, то ищу способ как это можно сделать скрытым образом от посторонних лиц.

[AlexVWill]

Chesterfield25, так я же написал как, зашифрованные данные можно смело передать в открытом виде, всеравно, даже в случае попадания этих данных в третьи руки никто прочесть что там не сможет.
Я так понимаю, что тебе рано кодить что-то на эту тему, почитай книжку по криптографии, многие вопросы отпадут, в том числе почему можно использовать метод POST и как подписать приложение APK. Я же тебе ссылки дал на крипто в андроид, прочитай хотя бы это сначала.

[Chesterfield25]

AlexVWill,

так я же написал как, зашифрованные данные можно смело передать в открытом виде, всеравно, даже в случае попадания этих данных в третьи руки никто прочесть что там не сможет.

Представьте ситуацию вы создали приложение которое отправляет такой пост запрос, после чего ваше апи даёт доступ в случае верного пост запроса или отказывает в доступе в случае неверного пост запроса.

zGfsoWclWf3oHsVI6DPvQJoxYR0yDYvFxw35jBuIxrfA5RclWA-35

А я человек который решил создать точно такое же приложение и более того работать не со своим апи а с вашим, декомпелировав ваше приложение мне даже не нужно читать что в вашем запросе передаётся, мне достаточно оставить все как есть! Вот в чем проблема, более того отправить пост запрос я могу хоть из браузера, хоть с любого другого сайта и получить доступ к вашему апи.

Для новостного приложения заморачиваться может и не стоит, но в случае с приложением которое производит транзакции это не безопасно

[AlexVWill]

А я человек который решил создать точно такое же приложение и более того работать не со своим апи а с вашим, декомпелировав ваше приложение мне даже не нужно читать что в вашем запросе передаётся, мне достаточно оставить все как есть!

Ты, чтонибудь слышал про одноразовые токены? А также про шифрование с открытым ключом. Строка, справедливая здесь и сейчас для конкретного пользователя (с конкретной учеткой), через 5 минут или для другого пользователя будет уже неактуальная.
Еще раз настоятельно посоветую прочитать что-то по теме. Хотя бы то, на что я сослался.

[davidnum95]

Chesterfield25, никак ты не скроешь использование апи, даже если не будет каких то там логов (хз откуда они там берутся). Можно посмотреть какие эндпоинты используются и что передается в теле запроса тупо заснифав трафик между приложением и бэком.