alex_lip
alex_lip12 декабря 2017 г. 7:24

А что по поводу авторизации ?

Мое приложение через HTTP запросы скачивает данные с моего сервера. Хотелось бы как-то эти запросы защитить.
Вот здесь https://www.digitalocean.com/community/tutorials/an-introduction-to-oauth-2
пишут про использование технологии OAuth 2 для авторизации приложения для доступа на http сервер.
Для мобильных приложений рекомендуют использовать Grant type - Implicit.  Есть ли у вас практика работы в этой области? И что можете посоветовать?

Рекомендуем хостинг TIMEWEB
Рекомендуем хостинг TIMEWEB
Стабильный хостинг, на котором располагается социальная сеть EVILEG. Для проектов на Django рекомендуем VDS хостинг.

Вам это нравится? Поделитесь в социальных сетях!

6
alex_lip
  • 12 декабря 2017 г. 7:46
  • (ред.)

Возможно проще через SSL (HTTPS) работать? Просто не знаю в какую сторону смотреть.

    Evgenii Legotckoi
    • 12 декабря 2017 г. 13:32

    Если у вас на сайте будет использоваться http, то у вас уже будет защита трафика. OAuth - это в первую очередь авторизация и дополнительный функционал по авторизации с помощью сторонних сайтов. Вам в любом случае нужно будет работать по зашифрованному каналу, а значит использовать https.


    Что касается сертификатов для HTTPs, то есть бесплатные трёхмесячные сертификаты от Let`s Encrypt, который основан Mozilla.
    Можно настроить автоматическое продление. Есть сертификационный бот, который можно настроить на автоматическое продление и бед знать не будете. Я сейчас на таком сертификате и сижу.

    Вот ссылка, когда я первый раз познакомился с Let`s Encrypt , а вот более свежая статья с настройкой сертификационного бота .
      alex_lip
      • 13 декабря 2017 г. 0:45

      Дело в том, что у меня не интернет сервер с доменным именем, а просто компьютер со статическим IP адресом. На котором крутится ORDS(oracle rest data services) И мне он нужен только для моего приложение, которое будет установлено человек у 20 максимум. Ставить приложение я скорее всего буду вручную на каждый телефон. Правда тут будет проблема с обновлением - опять все 20 переставлять. Но это другой вопрос. Сейчас я использую vpn. Но заметил, что не во всех кафешках он поддерживается. Тут еще ходят слухи что у нас вообще хотят запретить использовать vpn в открытых wifi сетях. Чтобы люди не ходили на запрещенные сайты. Вот поэтому я и призадумался. Вы сказали что

      Если у вас на сайте будет использоваться http, то у вас уже будет защита трафика.
      Но в интернетах пишут, что протокол http открытый. Где правда? Может мне в моем случае действительно достаточно http?

        Evgenii Legotckoi
        • 13 декабря 2017 г. 2:03
        • (ред.)

        Я опечатался. Конечно же https. Насчёт первой части того, что вы сказали нужно подумать. Но в принципе есть ещё так называемые самоподписанные сертификаты SSL (https). Ещё как вариант ssh подключение 

          alex_lip
          • 13 декабря 2017 г. 2:53
          • (ред.)

          У меня поднят удостоверяющий центр на базе open-ssl - я там генерю RSA сертификаты для своих нужд(эл.подписи для документов) может быть как-то их использовать?
          Хотя в принципе - в post запросах я могу еще одним параметром передавать значение некой хеш функции(по сути токен), которое будет удостоверять, что это "авторизованное" мобильное устройство. А сам токен выдавать при первом запуске приложения на устройстве. То есть если авторизация на устройстве прошла - сервер выдает токен, который в дальнейшем используется в запросах.  Какие недостатки в этой идее?

            Evgenii Legotckoi
            • 13 декабря 2017 г. 2:57

            Наличие токена - это правильный подход. Например, у меня на сайте в каждой форме есть токен, чтобы не было возможности подделки запросов.

            Что касается SSL, то стоит поискать информацию на тему того, как такие самоподписанные сертификаты использовать для https. Я сам не пробовал, но делают же для своих нужд подобные подписи для https, да и на прошлой работе для внутреннего сервиса мы вроде бы использовали самоподписанный https, когда вели разработку одной утилиты. Так что да, это можно использовать.

              Комментарии

              Только авторизованные пользователи могут публиковать комментарии.
              Пожалуйста, авторизуйтесь или зарегистрируйтесь
              AD

              C++ - Тест 004. Указатели, Массивы и Циклы

              • Результат:50баллов,
              • Очки рейтинга-4
              m
              • molni99
              • 26 октября 2024 г. 11:37

              C++ - Тест 004. Указатели, Массивы и Циклы

              • Результат:80баллов,
              • Очки рейтинга4
              m
              • molni99
              • 26 октября 2024 г. 11:29

              C++ - Тест 004. Указатели, Массивы и Циклы

              • Результат:20баллов,
              • Очки рейтинга-10
              Последние комментарии
              ИМ
              Игорь Максимов22 ноября 2024 г. 22:51
              Django - Урок 017. Кастомизированная страница авторизации на Django Добрый вечер Евгений! Я сделал себе авторизацию аналогичную вашей, все работает, кроме возврата к предидущей странице. Редеректит всегда на главную, хотя в логах сервера вижу запросы на правильн…
              Evgenii Legotckoi
              Evgenii Legotckoi1 ноября 2024 г. 0:37
              Django - Урок 064. Как написать расширение для Python Markdown Добрый день. Да, можно. Либо через такие же плагины, либо с постобработкой через python библиотеку Beautiful Soup
              A
              ALO1ZE19 октября 2024 г. 18:19
              Читалка fb3-файлов на Qt Creator Подскажите как это запустить? Я не шарю в программировании и кодинге. Скачал и установаил Qt, но куча ошибок выдается и не запустить. А очень надо fb3 переконвертировать в html
              ИМ
              Игорь Максимов5 октября 2024 г. 17:51
              Django - Урок 064. Как написать расширение для Python Markdown Приветствую Евгений! У меня вопрос. Можно ли вставлять свои классы в разметку редактора markdown? Допустим имея стандартную разметку: <ul> <li></li> <li></l…
              d
              dblas55 июля 2024 г. 21:02
              QML - Урок 016. База данных SQLite и работа с ней в QML Qt Здравствуйте, возникает такая проблема (я новичок): ApplicationWindow неизвестный элемент. (М300) для TextField и Button аналогично. Могу предположить, что из-за более новой верси…
              Сейчас обсуждают на форуме
              Evgenii Legotckoi
              Evgenii Legotckoi25 июня 2024 г. 1:11
              добавить qlineseries в функции Я тут. Работы оень много. Отправил его в бан.
              t
              tonypeachey115 ноября 2024 г. 17:04
              google domain [url=https://google.com/]domain[/url] domain [http://www.example.com link title]
              NSProject
              NSProject4 июня 2022 г. 13:49
              Всё ещё разбираюсь с кешем. В следствии прочтения данной статьи. Я принял для себя решение сделать кеширование свойств менеджера модели LikeDislike. И так как установка evileg_core для меня не была возможна, ибо он писался…
              9
              9Anonim25 октября 2024 г. 19:10
              Машина тьюринга // Начальное состояние 0 0, ,<,1 // Переход в состояние 1 при пустом символе 0,0,>,0 // Остаемся в состоянии 0, двигаясь вправо при встрече 0 0,1,>…

              Следите за нами в социальных сетях