Как защитить общение мобильного приложения с api?

Приветствую!

Делаем игру. Планируется сохранение состояния прохождения на сервере.

Как идентификатор пользователя используется его гугл аккаунт.
Встал вопрос верификации пользователя - как понять что запрос пришел именно от того пользователя, чей аккаунт указан?
Зашить ключ в приложение - не вариант, так как все прекрасно декомпилируется и ключ достается.

Не хотелось бы нагружать пользователя придумыванием и вводом пароля.

Что делать?
  • Вопрос задан
  • 2841 просмотр
Решения вопроса 1
Krost
@Krost Автор вопроса
Решил.

Сложность ситуации заключалась в том, что игра пишется на AS3 (Air). Пришлось писать Native Extension на джаве (с которой я не особо дружу).
В общем GoogleAuthUtil в моем случае не подошел, потратил пару дней на его изучение, но так и не получилось толком разобраться.

Обнаружил получение токена в AccountManager. По событию отправляем токен в air, который шлет его на сервер.

Если мало ли кому будет надо, могу прислать джававские сорсы ANE.
Ответ написан
Комментировать
Пригласить эксперта
Ответы на вопрос 1
ntkt
@ntkt
Потомственный рыцарь клавиатуры и паяльника
Задача выглядит как полностью аналогичная задаче "аутентифицировать пользователя на своем сайте-сервере через чужого провайдера аутентификации c OAuth 2.0".
developer.android.com/google/play-services/auth.html
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы