Identifizieren Android Benutzerkonto von Webserver

Question

Ich habe einen REST-Webserver, der die Anforderungen von Android-Geräten dient, wo ich sowohl Server-und Client-Codes schreiben. Hier möchte ich Benutzeranfragen basierend auf einer Account-Whitelist kontrollieren und einschränken. Zum Beispiel akzeptiere ich alle Anfragen für die URL A von beliebigen Benutzern, aber ich akzeptiere die Anfragen für die URL B nur vom Benutzer {admin@gmail.com, johndoe@gmail.com}.

Natürlich ist das Senden einer Benutzer-ID als einfacher JSON-Text keine wünschenswerte Lösung, da der Client verletzt werden kann. Gibt es einen sichereren Mechanismus in Android? Wie das Gerät sendet eine private Informationen des angemeldeten Kontos und der Server überprüft die Benutzeridentität?

Answer 1

Wenn Sie irgendeine Art von Authentifizierungssystem haben, wie eine einfache Anmeldung, könnte eine mögliche Lösung mit einem generierten Token eine Benutzersitzung darstellen. Auf diese Weise können Sie den Benutzerzugriff steuern, ohne sinnvolle Informationen wie die Benutzer-ID zu senden. Wenn der Client verletzt wird, widerrufen Sie ihn einfach.

Answer 2

Sie können Dienste eines Drittanbieters verwenden. Ich empfehle Backendless.com Überprüfen Sie es. Es ist frei, skalierbar und verfügt über eine Funktion zur Integration Ihrer Server-Token