Мақала жазуСұрақ қоюТест тапсырыңызКодты бөлісу
alex_lip
alex_lipЖел. 12, 2017, 7:24 Т.Ж.

А что по поводу авторизации ?

Мое приложение через HTTP запросы скачивает данные с моего сервера. Хотелось бы как-то эти запросы защитить.
Вот здесь https://www.digitalocean.com/community/tutorials/an-introduction-to-oauth-2
пишут про использование технологии OAuth 2 для авторизации приложения для доступа на http сервер.
Для мобильных приложений рекомендуют использовать Grant type - Implicit.  Есть ли у вас практика работы в этой области? И что можете посоветовать?

Рекомендуем хостинг TIMEWEB
Рекомендуем хостинг TIMEWEB
Стабильный хостинг, на котором располагается социальная сеть EVILEG. Для проектов на Django рекомендуем VDS хостинг.

Ол саған ұнайды ма? Әлеуметтік желілерде бөлісіңіз!

331
6
0
0
0
6
alex_lip
  • Жел. 12, 2017, 7:46 Т.Ж.
  • (өңделген)

Возможно проще через SSL (HTTPS) работать? Просто не знаю в какую сторону смотреть.

    0
    0
    0
    Evgenii Legotckoi
    • Жел. 12, 2017, 1:32 Т.Қ.

    Если у вас на сайте будет использоваться http, то у вас уже будет защита трафика. OAuth - это в первую очередь авторизация и дополнительный функционал по авторизации с помощью сторонних сайтов. Вам в любом случае нужно будет работать по зашифрованному каналу, а значит использовать https.


    Что касается сертификатов для HTTPs, то есть бесплатные трёхмесячные сертификаты от Let`s Encrypt, который основан Mozilla.
    Можно настроить автоматическое продление. Есть сертификационный бот, который можно настроить на автоматическое продление и бед знать не будете. Я сейчас на таком сертификате и сижу.

    Вот ссылка, когда я первый раз познакомился с Let`s Encrypt , а вот более свежая статья с настройкой сертификационного бота .
      0
      0
      0
      alex_lip
      • Жел. 13, 2017, 12:45 Т.Ж.

      Дело в том, что у меня не интернет сервер с доменным именем, а просто компьютер со статическим IP адресом. На котором крутится ORDS(oracle rest data services) И мне он нужен только для моего приложение, которое будет установлено человек у 20 максимум. Ставить приложение я скорее всего буду вручную на каждый телефон. Правда тут будет проблема с обновлением - опять все 20 переставлять. Но это другой вопрос. Сейчас я использую vpn. Но заметил, что не во всех кафешках он поддерживается. Тут еще ходят слухи что у нас вообще хотят запретить использовать vpn в открытых wifi сетях. Чтобы люди не ходили на запрещенные сайты. Вот поэтому я и призадумался. Вы сказали что

      Если у вас на сайте будет использоваться http, то у вас уже будет защита трафика.
      Но в интернетах пишут, что протокол http открытый. Где правда? Может мне в моем случае действительно достаточно http?

        0
        0
        0
        Evgenii Legotckoi
        • Жел. 13, 2017, 2:03 Т.Ж.
        • (өңделген)

        Я опечатался. Конечно же https. Насчёт первой части того, что вы сказали нужно подумать. Но в принципе есть ещё так называемые самоподписанные сертификаты SSL (https). Ещё как вариант ssh подключение 

          0
          0
          0
          alex_lip
          • Жел. 13, 2017, 2:53 Т.Ж.
          • (өңделген)

          У меня поднят удостоверяющий центр на базе open-ssl - я там генерю RSA сертификаты для своих нужд(эл.подписи для документов) может быть как-то их использовать?
          Хотя в принципе - в post запросах я могу еще одним параметром передавать значение некой хеш функции(по сути токен), которое будет удостоверять, что это "авторизованное" мобильное устройство. А сам токен выдавать при первом запуске приложения на устройстве. То есть если авторизация на устройстве прошла - сервер выдает токен, который в дальнейшем используется в запросах.  Какие недостатки в этой идее?

            0
            0
            0
            Evgenii Legotckoi
            • Жел. 13, 2017, 2:57 Т.Ж.

            Наличие токена - это правильный подход. Например, у меня на сайте в каждой форме есть токен, чтобы не было возможности подделки запросов.

            Что касается SSL, то стоит поискать информацию на тему того, как такие самоподписанные сертификаты использовать для https. Я сам не пробовал, но делают же для своих нужд подобные подписи для https, да и на прошлой работе для внутреннего сервиса мы вроде бы использовали самоподписанный https, когда вели разработку одной утилиты. Так что да, это можно использовать.
              0
              0
              0

              Пікірлер

              Тек рұқсаты бар пайдаланушылар ғана пікір қалдыра алады.
              Кіріңіз немесе Тіркеліңіз
              Соңғы өткен сынақтарРейтинг
              Г

              C++ - Тест 001. Первая программа и типы данных

              • Нәтиже:66ұпай,
              • Бағалау ұпайлары-1
              t

              C++ - Тест 001. Первая программа и типы данных

              • Нәтиже:33ұпай,
              • Бағалау ұпайлары-10
              t

              Qt - Тест 001. Сигналы и слоты

              • Нәтиже:52ұпай,
              • Бағалау ұпайлары-4
              Соңғы пікірлер
              G
              GoattRockҚыр. 3, 2024, 1:50 Т.Қ.
              Linux жүйесінде файлдарды қалай көшіруге болады Задумывались когда-нибудь о том, как мы привыкли доверять свои вещи службам грузоперевозок? Сейчас такие услуги стали неотъемлемой частью нашей жизни, особенно когда речь идет о переездах между …
              ВР
              Влад РусоковТам. 2, 2024, 1:47 Т.Ж.
              Linux жүйесінде файлдарды қалай көшіруге болады Screenshot_20240802-065123.png
              d
              dblas5Шілде 5, 2024, 11:02 Т.Ж.
              QML - Сабақ 016. SQLite деректер қоры және онымен QML Qt-та жұмыс істеу Здравствуйте, возникает такая проблема (я новичок): ApplicationWindow неизвестный элемент. (М300) для TextField и Button аналогично. Могу предположить, что из-за более новой верси…
              k
              kmssrАқп. 8, 2024, 6:43 Т.Қ.
              Qt Linux - Сабақ 001. Linux астында Autorun Qt қолданбасы как сделать автозапуск для флэтпака, который не даёт создавать файлы в ~/.config - вот это вопрос ))
              АК
              Анатолий КононенкоАқп. 5, 2024, 1:50 Т.Ж.
              Qt WinAPI - Сабақ 007. Qt ішінде ICMP Ping арқылы жұмыс істеу Без строки #include <QRegularExpressionValidator> в заголовочном файле не работает валидатор.
              Енді форумда талқылаңыз
              Evgenii Legotckoi
              Evgenii LegotckoiМаусым 24, 2024, 3:11 Т.Қ.
              добавить qlineseries в функции Я тут. Работы оень много. Отправил его в бан.
              F
              FynjyШілде 22, 2024, 4:15 Т.Ж.
              при создании qml проекта Kits есть но недоступны для выбора Поставил Qt Creator 11.0.2. Qt 6.4.3 При создании проекта Qml не могу выбрать Kits, они все недоступны, хотя настроены и при создании обычного Qt Widget приложения их можно выбрать. В чем может …
              BlinCT
              BlinCTМаусым 25, 2024, 1 Т.Ж.
              Нарисовать кривую в qml Всем привет. Имеется Лист листов с тосками, точки получаны интерполяцией Лагранжа. Вопрос, как этими точками нарисовать кривую? ChartView отпадает сразу, в qt6.7 появился новый элемент…
              BlinCT
              BlinCTМамыр 5, 2024, 5:46 Т.Ж.
              Написать свой GraphsView Всем привет. В Qt есть давольно старый обьект дял работы с графиками ChartsView и есть в 6.7 новый но очень сырой и со слабым функционалом GraphsView. По этой причине я хочу написать х…
              Evgenii Legotckoi
              Evgenii LegotckoiМамыр 2, 2024, 2:07 Т.Қ.
              Мобильное приложение на C++Qt и бэкенд к нему на Django Rest Framework Добрый день. По моему мнению - да, но то, что будет касаться вызовов к функционалу Андроида, может создать огромные трудности.

              Бізді әлеуметтік желілерде бақылаңыз