我正在开发同时具有本地数据库和AWS RDS的移动应用程序。数据需要以两种方式传递,以便可以备份用户数据并将更新的数据发送到应用程序。我设置了一个API,以避免将数据库凭据放入应用程序本身。该API触发托管在云中的代码以与RDS进行交互。
据我了解,Android APK文件很容易被黑客入侵。我想要一个解决方案,以防止他人对应用程序的API调用进行逆向工程并从RDS获取私有用户数据。就目前而言,如果有人知道如何格式化API调用,他们就可以访问属于任何用户的数据。
您需要一个API授权机制。通常,用成功登录后获得的Authorization Token保护API。用户成功登录后,您应该颁发授权令牌,“存储在设备共享的首选项中”,需要与其他API调用一起传递。我建议使用JWT,它简单易用,并且在所有主要编程语言中均可用。用JWT令牌编码用户的唯一标识符,并设计API,使用户只能基于JWT编码的身份创建,读取,更新和删除。这样,假设如果用户令牌被盗用,则该令牌只能用于滥用用户特定的数据,而不能滥用数据库中的所有数据。