我从事Android和iOS游戏已有一段时间了。它使用LAMP服务器后端。
有人告诉我,一旦我构建了游戏,从.apk中提取信息将很容易。我尝试了一下,而且肯定可以在其中找到我的网络呼叫功能和服务器密码。
我确保只有我的应用才能调用服务器的方式是通过SSL的HTTP POST(密码已通过)进行。如果密码与服务器的密码匹配,则呼叫被批准。之后,服务器将检查实际用户的ID和密码并获取其数据,等等。
第一次启动游戏时,服务器将为玩家创建一个配置文件。我以为这是安全的,但是现在我知道任何人都可以提取.apk并将其重新打包,然后使用我的服务器作为后端,因为它们具有密钥。
地球上如何保护我的服务器免受此类攻击?如何确定只有我的应用程序才能访问我的服务器?
您可以使用SafetyNet证明API在服务器端检查应用程序包名称:
https://developer.android.com/training/safetynet/attestation