Sécurité de l'application Android lors de l'accès à un service Web

Question

Je construis une application Android qui doit communiquer avec une base de données MySQL. L'application n'est pas destinée à être publiée, et je souhaite que l'application soit la seule chose autorisée à s'interfacer avec le service Web que je vais créer pour l'accès à la base de données.

J'ai réfléchi à la façon dont je peux sécuriser le système, et c'est l'idée que j'ai imaginée. J'apprécierais toute rétroaction ou d'autres idées. Sûrement il y a une méthode intégrée dans Android que je ne connais pas.

Mon idée est de donner un GUID au service Web. Chaque fois qu'un appel est fait à l'une de ses méthodes publiques, le service Web correspond à son GUID avec le GUID qui lui est donné par l'application Android. Si les GUID ne correspondent pas, le service Web refuse l'accès. En bref, mon système a un mot de passe de 128 bits.

Answer 1

Si vous faites confiance à la personne pour administrer votre base de données, tout devrait bien se passer. Le changement le plus important est que toute cette communication doit être effectuée via HTTPS. Si un pirate voit ce trafic, votre base de données sera piratée.

J'utiliserais toujours un nom d'utilisateur/mot de passe pour accéder au système. Je recommande d'utiliser la table mysql.users existante avec la fonction MySQL password(). Ce GUID semble identique à un cookie, et j'envisagerais sérieusement d'utiliser un système de gestion de session existant tel que session_start() de php au lieu de lancer le vôtre. Ré-inventer le wheal est mauvais, surtout quand il s'agit de la sécurité.