Как защитить данные, передваемые сервером мобильному приложению?

Question

[andreich]

Добрый день.
Есть сервер на asp.net. Есть android-приложение, которое получает данные с сервера.
Авторизации нет, и ее как защиту не строит рассматривать.
Возможно ли защитить api сервера?
Точнее, меня интересует, есть ли способы, кроме шифрования данных?

Comments

[andreich]

Имелась ввиду защита данных, т.е. отдавать данные только "true" клиенту.

[andreich]

Рассматривается случай, когда злоумышленникам известен api

[andreich]

возможно я выразился не правильно. т.к. я имеел ввиду авторизацию клиента, когда пользователь регистрируется в системе.(заводит учетку)

Answer 1

[Алексей Захаров]

а разве определение true/false клиент это не авторизация?
или вас интересует метод авторизации реализованный без участия сервера?

Comments

[andreich]

возможно я выразился не правильно. т.к. я имеел ввиду авторизацию клиента, когда пользователь регистрируется в системе.(заводит учетку)

[Алексей Захаров]

то есть по сути, у вас будет один пользователь (приложение), обладающий, как минимум, некими уникальными характеристиками(тот же юзер агент), проверка которых уже позволит отсечь часть запросов от школоло-хакеров.
ну а реальной защитой будет, например, генерация токенов к разным типам запросов по некому алгоритму, серверу алгоритмы известны, а пользоватеь его без дизассемблера никак не получит.

[Алексей Захаров]

точнее, при андороид приложении, прийдется делать так
Реверс-инжиниринг android прил...

[andreich]

про ревес инженериг я знаю :)
сам часто им пользуюсь, чтобы посмотреть чужие приложения. это то меня и беспокоит.

Answer 2

[ActioNk]

Если получает данные по HTTP, может HTTPS?

Comments

[andreich]

да, но это спасет только от перехвата

Answer 3

[Николай Турнавиотов]

api для того и api обычно, чтобы быть известным всем, потому как описан в официальных доках.
а авторизация и аутентификация это уже проблемы api-авторов

Comments

[andreich]

Можете считать, что я автор и того, и другого :)