Android(ios) 到 PHP API 安全

Android(ios) to PHP API Security

我正在使用 php 为 android 进行 RESTful API 设计。因此,我正在创建 PHP API,它将进入我的数据库并根据调用的 method/function 提供特定数据。
但是在阅读了一些教程之后,我遇到了一些问题,我找不到解决我的 problem.my 问题的好方法如下:

1.how我可以保持我的API和android.In之间的session换句话说,如果用户通过android登录系统,我该如何保持session ?有的使用PHPSESSID,有的使用userid(由api返回),哪个更好?

2.how 我可以保护我的 API 不被滥用吗?我发现很多人使用 apikey

3.how 我可以保护恶意用户篡改数据吗?这与我的第一个问题有关,如果我使用 userid 来维护我的 API 和 android 之间的会话,基于此,即使我使用apikey,恶意用户也可以将他的userid篡改成其他人的,所以他会得到其他人的信息。

我很卡,请帮帮我?

我建议您阅读关于 HMAC 身份验证。

  1. 你不会维护session...每个对服务器的请求都会在请求中发送一些令牌数据header.

  2. 您可以继续努力,想办法保护您的服务器。最重要的想法是遵循最佳实践,当您的软件投入生产时,经常检查您的日志。

  3. 使用 HMAC 或一些类似的方法。

您需要改变主意,不要存储 session,并遵循 API 最佳做法。我的好主意是阅读 instagram、facebook、g+ 和 gdrive 文档,看看它们是怎么做的。