Phil G.
- Forum-Beiträge: 86
28.12.2012, 15:50:20 via Website
28.12.2012 15:50:20 via Website
Ich habe eine Frage bezüglich sicherer Kommunikation mit einem Server und eventl. hat da jemand Erfahrungen bzw. Tipps.
Android -> PHP Skript -> Android (Format: JSON)
Vorwort:
Für eine Webseite habe ich ein Fussballtippspiel programmiert und die Authentifizierung nutzt das bereits bestehende Forensystem phpBB.
Um sich die Arbeit mit einem eigenen Login zu sparen bzw. es für den User transparent zu halten nutzt das Tippspiel im Web die aktive Forensoftware-Session um den User zu identifizieren.
Einige User wünschten sich nun eine Möglichkeit auch per Android App auf das Tippspiel zuzugreifen. Eine einfache Verlinkung in den mobilen Webbrowser macht wenig Sinn, da die Tabellen bzw. Tippabgabe für große Bildschirme optimiert sind.
Also würde ich mir das gerne selber programmieren bzw. bin schon dabei.
Die Vorgehensweise ist relativ simple. In der Android-App setze ich Requests an meine PHP-Skripte ab (JSON) und bekomme auch schön ein JSON Objekt als Antwort welches ich dann in der App aufbereite.
-> Der User muss sich mit seinen Forendaten anmelden
-> da die Anmeldung (PHP Seite) etwas schwierig ist (verschiedene Datenbanken-Server für Forensoftware und Tippspiel),
wollte ich den ständigen Overhead (öffnen mehrere verschiedener Datenbankverbindungen) verringern und hole ich mir die Daten nur einmal
und liefere meiner Android App die User-ID des Tippspiels zurück -> diese wird gespeichert.
Um Tippaktionen ect. auszulösen, sende ich nun jedes Mal die ID + Daten an meine PHP Skripte.
Natürlich ist mir jetzt auch aufgefallen, das dies relativ unsicher (KLARTEXT) ist und ich bin auf der Suche nach dem "Wie mache ich es besser?"
Die Tippdaten sind relativ unspektakulär und ich wollte die auch nicht verschlüsseln, mir geht es lediglich darum das man ala "Man in the Middle" nicht die php-skripte aushebelt bzw. Tipps für andere User manipulieren kann ->momentan teste ich MCrypt und verschicke die ID verschlüsselt, das funktioniert soweit auch ganz gut
die Frage - reicht das oder welche anderen Ansätze gibt es da ?
Quelle: https://github.com/SeRPRo/Android-PHP-Encrypt-Decrypt
Noch als Ergänzung:
HTTPS / SSL - habe ich nicht.
Wie löst Ihr so ein Problem bzw. macht die Kommunikation sicherer ?
Android -> PHP Skript -> Android (Format: JSON)
Vorwort:
Für eine Webseite habe ich ein Fussballtippspiel programmiert und die Authentifizierung nutzt das bereits bestehende Forensystem phpBB.
Um sich die Arbeit mit einem eigenen Login zu sparen bzw. es für den User transparent zu halten nutzt das Tippspiel im Web die aktive Forensoftware-Session um den User zu identifizieren.
Einige User wünschten sich nun eine Möglichkeit auch per Android App auf das Tippspiel zuzugreifen. Eine einfache Verlinkung in den mobilen Webbrowser macht wenig Sinn, da die Tabellen bzw. Tippabgabe für große Bildschirme optimiert sind.
Also würde ich mir das gerne selber programmieren bzw. bin schon dabei.
Die Vorgehensweise ist relativ simple. In der Android-App setze ich Requests an meine PHP-Skripte ab (JSON) und bekomme auch schön ein JSON Objekt als Antwort welches ich dann in der App aufbereite.
-> Der User muss sich mit seinen Forendaten anmelden
-> da die Anmeldung (PHP Seite) etwas schwierig ist (verschiedene Datenbanken-Server für Forensoftware und Tippspiel),
wollte ich den ständigen Overhead (öffnen mehrere verschiedener Datenbankverbindungen) verringern und hole ich mir die Daten nur einmal
und liefere meiner Android App die User-ID des Tippspiels zurück -> diese wird gespeichert.
Um Tippaktionen ect. auszulösen, sende ich nun jedes Mal die ID + Daten an meine PHP Skripte.
Natürlich ist mir jetzt auch aufgefallen, das dies relativ unsicher (KLARTEXT) ist und ich bin auf der Suche nach dem "Wie mache ich es besser?"
Die Tippdaten sind relativ unspektakulär und ich wollte die auch nicht verschlüsseln, mir geht es lediglich darum das man ala "Man in the Middle" nicht die php-skripte aushebelt bzw. Tipps für andere User manipulieren kann ->momentan teste ich MCrypt und verschicke die ID verschlüsselt, das funktioniert soweit auch ganz gut
die Frage - reicht das oder welche anderen Ansätze gibt es da ?
Quelle: https://github.com/SeRPRo/Android-PHP-Encrypt-Decrypt
Noch als Ergänzung:
HTTPS / SSL - habe ich nicht.
Wie löst Ihr so ein Problem bzw. macht die Kommunikation sicherer ?
Empfohlener redaktioneller Inhalt
Mit Deiner Zustimmung wird hier ein externer Inhalt geladen.
Mit Klick auf den oben stehenden Button erklärst Du Dich damit einverstanden, dass Dir externe Inhalte angezeigt werden dürfen. Dabei können personenbezogene Daten an Drittanbieter übermittelt werden. Mehr Infos dazu findest Du in unserer Datenschutzerklärung.