我是新手有这样一个疑问?
Android客户端被反编译后,完全暴漏出调用服务器端的代码,也就是像“http://xx.com/api/article.json”的URL路径,因为知道php端返回的是json格式数据包,所以完全可以自己写个客户端来避过登录验证,还可以模拟传值,获得他人的私人数据,如果想收集这个网站的数据,完全可以把传回来的数据导入到自己的数据库中。
请问大牛的解决办法,也给菜鸟提个醒!
初步可以使用 Oauth2 继续授权访问 API。
规划好 API 调用的权限划分。
但是你客户端都暴露了,因此 Oauth2 的 app_id 和 secret 暴露几率非常的大 ( 当然你有心的话可以做到不暴露)
所以最终你的 API 还是会被别人调用到 :)
服务端要验证啊。
非公开数据的数据接口,要验证登录时所授权的token之类的咯。
所有数据都任何人可以获取的话,那登录过程不就只是个摆设了
http://zh.wikipedia.org/zh/OAuth
可以做IP的限制,验证IP的有效性
如楼上所说的做token的验证.....