RZ
Как с generics java можно операции проводить? Нужно % использовать и вытащить четные значения, но так как там все завязано на обощенном типе данных ide говорит,мол нельзя применить оператор % к инт,т.к. "значение" % 2 == 0
Size: a a a
2017 October 22
2017 October 26
EL
Всем привет! Сразу попрошу камнями не кадаться если вопрос глупый, просто тыкните в какую сторону копать )) Есть серверная часть приложения (сервер) и есть мобильное приложение (клиент). Клиент должен дергать сервер за API. Т.е я это вижу как какие то урлы с параметрами. Так вот недобросовестные пользователи могут узнать урлы за кторые я дергаю сервер и получить информацию, которую им знать не надо. Так вот, как можно защитить серверную часть, что бы каждый пользователь мог выполнять только действия, которые ему положены и только дейтсвия со своим аккаунтом. В какую сторону спросить гугл что бы разобраться в теме?
EL
Пы Сы в веб разработке опыта мало, могу ошибаться в постановке вопроса, за что сразу извиняюсь
DS
Декомпилировать приложение и узнать api возможно.
Поэтому api Должно быть настолько безопасно - если оно не открыто - чтобы не нужно было боятся что кто то по нему отправит запросы.
Включайте ssl pinnig в приложение, обсфусцируйте эпп, подписывайте каждый запрос с приложения.
Поэтому api Должно быть настолько безопасно - если оно не открыто - чтобы не нужно было боятся что кто то по нему отправит запросы.
Включайте ssl pinnig в приложение, обсфусцируйте эпп, подписывайте каждый запрос с приложения.
EL
а подписывать каждый запрос это как можно загуглить? =)
MK
Ссл пиннинг особо не спасёт от того, кто захочет вытащить инфу. Но внедрить стоит - часть хацкеров отсеит. Подписывание каждого запроса обязательно. Причём, логику генерации ключа нужно реализовывать не в джаве (если андроид), а в сишной либе. Вытащить тоже можно, то гораздо сложнее. Можете обратить внимание на приложение кинопоиска в качестве образца
MK
а подписывать каждый запрос это как можно загуглить? =)
Просто договариваетесь с сервером, по какому алгоритму хотите генерировать уникальный ключ для каждого запроса. И потом на сервере сравниваете хэши
LP
Вопрос же из разряда "аутентификации, авторизации и идентификации пользователя". Может стоит апи проработать для начала?
EL
не очень понял что подразумевается под "проработать апи"
LP
Просто скрывать от пользователя эндпоинты - фигня какая-то. Пусть ходит, куда хочет, только если пойдет куда нельзя - возвращать ему 403 ошибку, а это уже задача бекенда - смотреть , какие права у пользователя есть или нет
MK
Эндпоинты вообще скрыть нереально
MK
Поэтому, обращайте внимание на то, что сейчас указали
MK
Это как вход, который все видят, но никто зайти не может из-за фейсконтроля
SU
Если не жаль ресурсов — веди на сервере контекст пользователя: что он сейчас может видеть и не может. И по мере обработки запросов проверяй — мог он дернуть метод с такими параметрами или нет.
EL
ну я про фейс контроль и спрашивал =) Какие технологии его реализуют? Пока я понялчто нужно копнуть ссл спининг и подписку запросов
EL
Если не жаль ресурсов — веди на сервере контекст пользователя: что он сейчас может видеть и не может. И по мере обработки запросов проверяй — мог он дернуть метод с такими параметрами или нет.
для меня такая задача будет сложновата наверное.. Много логики придется описывать, что бы каждое действие пользователя связывать с контекстом
П
А еще можно перехватить запрос от клиента и ответить ему вместо сервера) это тоже учитывайте
DS
Павел
А еще можно перехватить запрос от клиента и ответить ему вместо сервера) это тоже учитывайте
ssl pinnig Это решает
EL
мда, как все непросто )
EL
спасибо, буду просвящаться