Как защитить общение мобильного приложения с api?

Question

[Андрей]

Приветствую!

Делаем игру. Планируется сохранение состояния прохождения на сервере.

Как идентификатор пользователя используется его гугл аккаунт.
Встал вопрос верификации пользователя - как понять что запрос пришел именно от того пользователя, чей аккаунт указан?
Зашить ключ в приложение - не вариант, так как все прекрасно декомпилируется и ключ достается.

Не хотелось бы нагружать пользователя придумыванием и вводом пароля.

Что делать?

Answer 1

[Андрей]

Решил.

Сложность ситуации заключалась в том, что игра пишется на AS3 (Air). Пришлось писать Native Extension на джаве (с которой я не особо дружу).
В общем GoogleAuthUtil в моем случае не подошел, потратил пару дней на его изучение, но так и не получилось толком разобраться.

Обнаружил получение токена в AccountManager. По событию отправляем токен в air, который шлет его на сервер.

Если мало ли кому будет надо, могу прислать джававские сорсы ANE.

Answer 2

[ntkt]

Задача выглядит как полностью аналогичная задаче "аутентифицировать пользователя на своем сайте-сервере через чужого провайдера аутентификации c OAuth 2.0".
developer.android.com/google/play-services/auth.html

Comments

[Андрей]

Изучу вопрос, попробую реализовать.
Спасибо.

[Андрей]

Параллельный вопрос. Нужно ли получать application id? Что нужно(можно) писать в scope?

Я как понял схема получается такая - я получаю token, отправляю его на свой сервер, мой сервер шлет запрос в гугл для проверки токена?