Написать статьюЗадать вопросПройти тестРасшарить код
alex_lip
alex_lip12 декабря 2017 г. 7:24

А что по поводу авторизации ?

Мое приложение через HTTP запросы скачивает данные с моего сервера. Хотелось бы как-то эти запросы защитить.
Вот здесь https://www.digitalocean.com/community/tutorials/an-introduction-to-oauth-2
пишут про использование технологии OAuth 2 для авторизации приложения для доступа на http сервер.
Для мобильных приложений рекомендуют использовать Grant type - Implicit.  Есть ли у вас практика работы в этой области? И что можете посоветовать?

Рекомендуем хостинг TIMEWEB
Рекомендуем хостинг TIMEWEB
Стабильный хостинг, на котором располагается социальная сеть EVILEG. Для проектов на Django рекомендуем VDS хостинг.

Вам это нравится? Поделитесь в социальных сетях!

245
6
0
0
0
6
alex_lip
  • 12 декабря 2017 г. 7:46
  • (ред.)

Возможно проще через SSL (HTTPS) работать? Просто не знаю в какую сторону смотреть.

    0
    0
    0
    Evgenii Legotckoi
    • 12 декабря 2017 г. 13:32

    Если у вас на сайте будет использоваться http, то у вас уже будет защита трафика. OAuth - это в первую очередь авторизация и дополнительный функционал по авторизации с помощью сторонних сайтов. Вам в любом случае нужно будет работать по зашифрованному каналу, а значит использовать https.


    Что касается сертификатов для HTTPs, то есть бесплатные трёхмесячные сертификаты от Let`s Encrypt, который основан Mozilla.
    Можно настроить автоматическое продление. Есть сертификационный бот, который можно настроить на автоматическое продление и бед знать не будете. Я сейчас на таком сертификате и сижу.

    Вот ссылка, когда я первый раз познакомился с Let`s Encrypt , а вот более свежая статья с настройкой сертификационного бота .
      0
      0
      0
      alex_lip
      • 13 декабря 2017 г. 0:45

      Дело в том, что у меня не интернет сервер с доменным именем, а просто компьютер со статическим IP адресом. На котором крутится ORDS(oracle rest data services) И мне он нужен только для моего приложение, которое будет установлено человек у 20 максимум. Ставить приложение я скорее всего буду вручную на каждый телефон. Правда тут будет проблема с обновлением - опять все 20 переставлять. Но это другой вопрос. Сейчас я использую vpn. Но заметил, что не во всех кафешках он поддерживается. Тут еще ходят слухи что у нас вообще хотят запретить использовать vpn в открытых wifi сетях. Чтобы люди не ходили на запрещенные сайты. Вот поэтому я и призадумался. Вы сказали что

      Если у вас на сайте будет использоваться http, то у вас уже будет защита трафика.
      Но в интернетах пишут, что протокол http открытый. Где правда? Может мне в моем случае действительно достаточно http?

        0
        0
        0
        Evgenii Legotckoi
        • 13 декабря 2017 г. 2:03
        • (ред.)

        Я опечатался. Конечно же https. Насчёт первой части того, что вы сказали нужно подумать. Но в принципе есть ещё так называемые самоподписанные сертификаты SSL (https). Ещё как вариант ssh подключение 

          0
          0
          0
          alex_lip
          • 13 декабря 2017 г. 2:53
          • (ред.)

          У меня поднят удостоверяющий центр на базе open-ssl - я там генерю RSA сертификаты для своих нужд(эл.подписи для документов) может быть как-то их использовать?
          Хотя в принципе - в post запросах я могу еще одним параметром передавать значение некой хеш функции(по сути токен), которое будет удостоверять, что это "авторизованное" мобильное устройство. А сам токен выдавать при первом запуске приложения на устройстве. То есть если авторизация на устройстве прошла - сервер выдает токен, который в дальнейшем используется в запросах.  Какие недостатки в этой идее?

            0
            0
            0
            Evgenii Legotckoi
            • 13 декабря 2017 г. 2:57

            Наличие токена - это правильный подход. Например, у меня на сайте в каждой форме есть токен, чтобы не было возможности подделки запросов.

            Что касается SSL, то стоит поискать информацию на тему того, как такие самоподписанные сертификаты использовать для https. Я сам не пробовал, но делают же для своих нужд подобные подписи для https, да и на прошлой работе для внутреннего сервиса мы вроде бы использовали самоподписанный https, когда вели разработку одной утилиты. Так что да, это можно использовать.
              0
              0
              0

              Комментарии

              Только авторизованные пользователи могут публиковать комментарии.
              Пожалуйста, авторизуйтесь или зарегистрируйтесь
              Последние пройденные тестыРейтинг
              e
              • ehot
              • 1 апреля 2024 г. 0:29

              C++ - Тест 003. Условия и циклы

              • Результат:78баллов,
              • Очки рейтинга2
              B

              C++ - Тест 002. Константы

              • Результат:16баллов,
              • Очки рейтинга-10
              B

              C++ - Тест 001. Первая программа и типы данных

              • Результат:46баллов,
              • Очки рейтинга-6
              Последние комментарии
              k
              kmssr9 февраля 2024 г. 5:43
              Qt Linux - Урок 001. Автозапуск Qt приложения под Linux как сделать автозапуск для флэтпака, который не даёт создавать файлы в ~/.config - вот это вопрос ))
              АК
              Анатолий Кононенко5 февраля 2024 г. 12:50
              Qt WinAPI - Урок 007. Работаем с ICMP Ping в Qt Без строки #include <QRegularExpressionValidator> в заголовочном файле не работает валидатор.
              EVA
              EVA25 декабря 2023 г. 21:30
              Boost - статическая линковка в CMake проекте под Windows Ошибка LNK1104 часто возникает, когда компоновщик не может найти или открыть файл библиотеки. В вашем случае, это файл libboost_locale-vc142-mt-gd-x64-1_74.lib из библиотеки Boost для C+…
              J
              JonnyJo25 декабря 2023 г. 19:38
              Boost - статическая линковка в CMake проекте под Windows Сделал всё по-как у вас, но выдаёт ошибку [build] LINK : fatal error LNK1104: не удается открыть файл "libboost_locale-vc142-mt-gd-x64-1_74.lib" Хоть убей, не могу понять в чём дел…
              G
              Gvozdik19 декабря 2023 г. 8:01
              Qt/C++ - Урок 056. Подключение библиотеки Boost в Qt для компиляторов MinGW и MSVC Для решения твой проблемы добавь в файл .pro строчку "LIBS += -lws2_32" она решит проблему , лично мне помогло.
              Сейчас обсуждают на форуме
              a
              a_vlasov14 апреля 2024 г. 16:41
              Мобильное приложение на C++Qt и бэкенд к нему на Django Rest Framework Евгений, добрый день! Такой вопрос. Верно ли следующее утверждение: Любое Android-приложение, написанное на Java/Kotlin чисто теоретически (пусть и с большими трудностями) можно написать и на C+…
              Павел Дорофеев
              Павел Дорофеев14 апреля 2024 г. 12:35
              QTableWidget с 2 заголовками Вот тут есть кастомный QTableView с многорядностью проект поддерживается, обращайтесь
              f
              fastrex4 апреля 2024 г. 14:47
              Вернуть старое поведение QComboBox, не менять индекс при resetModel Добрый день! У нас много проектов в которых используется QComboBox, в версии 5.5.1, когда модель испускает сигнал resetModel, currentIndex не менялся. В версии 5.15 при resetModel происходит try…
              P
              Pisych27 февраля 2023 г. 15:04
              Как получить в массив значения из связанной модели? Спасибо, разобрался:))
              AC
              Alexandru Codreanu19 января 2024 г. 22:57
              QML Обнулить значения SpinBox Доброго времени суток, не могу разобраться с обнулением значение SpinBox находящего в делегате. import QtQuickimport QtQuick.ControlsWindow { width: 640 height: 480 visible: tr…

              Следите за нами в социальных сетях