Как безопасно сделать подтверждение по SMS в мобильном приложении?
Если кто-то злой узнает адрес API, может нанести материальный ущерб. Поэтому возник вопрос: как безопасно сделать подтверждение по SMS в мобильном приложении? Есть идея отправлять md5-hash, который генерируется исходя из номера телефона + "соли". Проверить на стороне сервера легко, вроде безопасно, но Android приложения, как я понимаю, умеют декомпилировать?! И тогда "соль" уйдет в чужие руки.
На самом деле вам нужно использовать встроеные механизмы шифрования ОС. Они умеют генерировать всякие ключи и хранить их в памяти телефона так что никто достать не сможет. Генерируете такой ключ, если его еще не было, Передаете его по хттпс себе на сервер и дальше все коммуникации между прилкой и сервером шифруете и расшифровываете этим ключом
P.S. при возможности откажитесь от дорогих СМС, используйте PUSH
Я посмотрел реализацию RSA, понял что такое ассиметричное шифрование. Но у меня логики не хватает, как имея две функции(шифрование, дешифрование), сделать безопасным флуд скрипта отправки смс?
Arhimed96: извините, не так понял вопрос. На самом деле вам нужно использовать встроеные механизмы шифрования ОС. Они умеют генерировать всякие ключи и хранить их в памяти телефона так что никто достать не сможет. Генерируете такой ключ, если его еще не было, Передаете его по хттпс себе на сервер и дальше все коммуникации между прилкой и сервером шифруете и расшифровываете этим ключом
Средний
