Реклама
  • 12 декабря 2017 г. 12:24

А что по поводу авторизации ?

Мое приложение через HTTP запросы скачивает данные с моего сервера. Хотелось бы как-то эти запросы защитить.
Вот здесь https://www.digitalocean.com/community/tutorials/an-introduction-to-oauth-2
пишут про использование технологии OAuth 2 для авторизации приложения для доступа на http сервер.
Для мобильных приложений рекомендуют использовать Grant type - Implicit.  Есть ли у вас практика работы в этой области? И что можете посоветовать?

  • #
  • отредактировано 12 декабря 2017 г. 12:47
  • 12 декабря 2017 г. 12:46

Возможно проще через SSL (HTTPS) работать? Просто не знаю в какую сторону смотреть.

Если у вас на сайте будет использоваться http, то у вас уже будет защита трафика. OAuth - это в первую очередь авторизация и дополнительный функционал по авторизации с помощью сторонних сайтов. Вам в любом случае нужно будет работать по зашифрованному каналу, а значит использовать https.


Что касается сертификатов для HTTPs, то есть бесплатные трёхмесячные сертификаты от Let`s Encrypt, который основан Mozilla.
Можно настроить автоматическое продление. Есть сертификационный бот, который можно настроить на автоматическое продление и бед знать не будете. Я сейчас на таком сертификате и сижу.

Вот ссылка, когда я первый раз познакомился с Let`s Encrypt , а вот более свежая статья с настройкой сертификационного бота .

Дело в том, что у меня не интернет сервер с доменным именем, а просто компьютер со статическим IP адресом. На котором крутится ORDS(oracle rest data services) И мне он нужен только для моего приложение, которое будет установлено человек у 20 максимум. Ставить приложение я скорее всего буду вручную на каждый телефон. Правда тут будет проблема с обновлением - опять все 20 переставлять. Но это другой вопрос. Сейчас я использую vpn. Но заметил, что не во всех кафешках он поддерживается. Тут еще ходят слухи что у нас вообще хотят запретить использовать vpn в открытых wifi сетях. Чтобы люди не ходили на запрещенные сайты. Вот поэтому я и призадумался. Вы сказали что

Если у вас на сайте будет использоваться http, то у вас уже будет защита трафика.
Но в интернетах пишут, что протокол http открытый. Где правда? Может мне в моем случае действительно достаточно http?

  • alex_lip
  • #
  • отредактировано 13 декабря 2017 г. 7:03
  • 13 декабря 2017 г. 7:03

Я опечатался. Конечно же https. Насчёт первой части того, что вы сказали нужно подумать. Но в принципе есть ещё так называемые самоподписанные сертификаты SSL (https). Ещё как вариант ssh подключение 

  • #
  • отредактировано 13 декабря 2017 г. 7:55
  • 13 декабря 2017 г. 7:53

У меня поднят удостоверяющий центр на базе open-ssl - я там генерю RSA сертификаты для своих нужд(эл.подписи для документов) может быть как-то их использовать?
Хотя в принципе - в post запросах я могу еще одним параметром передавать значение некой хеш функции(по сути токен), которое будет удостоверять, что это "авторизованное" мобильное устройство. А сам токен выдавать при первом запуске приложения на устройстве. То есть если авторизация на устройстве прошла - сервер выдает токен, который в дальнейшем используется в запросах.  Какие недостатки в этой идее?

Наличие токена - это правильный подход. Например, у меня на сайте в каждой форме есть токен, чтобы не было возможности подделки запросов.

Что касается SSL, то стоит поискать информацию на тему того, как такие самоподписанные сертификаты использовать для https. Я сам не пробовал, но делают же для своих нужд подобные подписи для https, да и на прошлой работе для внутреннего сервиса мы вроде бы использовали самоподписанный https, когда вели разработку одной утилиты. Так что да, это можно использовать.
Реклама

Ответы

Только авторизованные пользователи могут отвечать на форуме.
Пожалуйста, Авторизуйтесь или Зарегистрируйтесь
  • falcon
  • 16 января 2018 г. 17:25

Qt - Тест 001. Сигналы и слоты

  • Результат 100 баллов
  • Очки рейтинга 10
  • falcon
  • 16 января 2018 г. 17:22

Qt - Тест 001. Сигналы и слоты

  • Результат 68 баллов
  • Очки рейтинга -1
  • falcon
  • 16 января 2018 г. 17:18

C++ - Тест 001. Первая программа и типы данных

  • Результат 73 баллов
  • Очки рейтинга 1
Последние комментарии

QML - Урок 021. Переключение между окнами в QML

Спасибо всем. Все получилось. Прикручиваю логику.

  • BlinCT
  • 14 января 2018 г. 19:28

Разработка на Qt под iOS

Вот честно, на сколько же муторно под огрызок что то делать. Куча проблем) А вод линь или под Андроид все просто и тривиально))

  • folax
  • 12 января 2018 г. 9:16

QML - Урок 021. Переключение между окнами в QML

Ничего сложного, делаете по тех заданию 3 файла qml, называете их как указанно в тех задании, потом из первого окна через Loader их переключаете, в окне 2 и 3 делаете сигналы которые при закры...

QML - Урок 021. Переключение между окнами в QML

Все верно, я и не говорил что этот кусок кода лично мое произведение. Это тоже верно: Это задание для прохождения на собеседование в одну из крупных украинских IT компаний. Логику ...

  • folax
  • 12 января 2018 г. 8:13

QML - Урок 021. Переключение между окнами в QML

int main(int argc, char *argv[]){ QApplication app(argc, argv); Logic logic; QQmlApplicationEngine engine; engine.rootContext()->setContextProperty("logic", &logic)...

Сейчас обсуждают на форуме

Как проверить доступность сервера

Точно!!! Я сейчас так пробую QNetworkReply *replay_news = networkManager_news->get(QNetworkRequest(QUrl(url_news)));connect(networkManager_news, &QNetworkAccessManager::...

ChartView. Отображение метки данных точки серии при наведении курсора

Спасибо большущее за советы! Все получилось через ScatterSeries. Методы remove() как-то сходу не дались, удаляет в первый раз, а потом программа падает... Не стал тратить время и воспользовалс...

QGraphicsScene

спасибо, за подробное объяснение строчки, а с зумом я разобрался, все работает

  • EVILEG
  • 15 января 2018 г. 17:21

Qt webgl

Насчёт проверки подключения клиента я не в курсе. Что касается экземпляров приложения, то из того, что я читал получается, что нет необходимости в нескольких экземплярах для нескольких кл...

  • EVILEG
  • 15 января 2018 г. 11:39

Проблема добавления #DEFINE при сборке CMak'ом

А Вы не пробовали сделать предкомпилированные библиотеки boost под свою систему, а потом уже подключать собранные библиотеки Boost`а? Просто один только boost может собираться на пару гиг...