移动应用安全

Question

我们在iOS和安卓平台上都有一个应用程序。我们是来自市政当局的程序员，我们的应用程序包含我们城市的交通信息，我们的服务，新闻等。而不是我们的官方应用程序，另一个程序员已经破解了我们的应用程序，我们的服务受到了损害。他们使用了我们的服务并发布了另一个应用程序。我反编译了他们的一个apk，看到了我们的网络服务地址，用户名和密码。

我们如何在iOS和安卓平台上保护我们的应用程序？这就像阻止他们的应用程序访问我们的服务，或者可能阻止他们破解官方应用程序。如果我们使用持有者身份验证，我们必须在我们的应用程序中添加用户名和密码。在soap服务中，我们添加了加密的用户名和密码，但现在他们破解了应用程序，并使用相同的加密用户名和密码访问我们的服务。

我不知道如何保护我们的应用程序，防止非法访问我们的服务。

Answer 1

一种方法是在每个web服务中的请求头中添加一个auth-key。当用户登录或注册为您的身份验证服务的回复时，将获得一个auth-key。通过这种方式，您可以简单地切断对没有系统提供的auth-key的任何请求的访问。

此外，你还需要混淆你的代码，在android中，使用proguard和gradle可以非常简单地做到这一点。

这不是一个完全安全的解决方案，但它会给这些人一些时间，直到他们可以再次使用你的服务。