モバイルAPP - API認証の概念

Question

私は概念的な質問があり、誰かが助けてくれるほど親切であるかどうかを知りたいと思っていました。

簡単な例を使用して私の見解を説明します。

私はNode.JS + Express + MongoDBをバックエンドとして、単純なRESTFul APIを開発しました。 APIは、Androidゲームアプリからのヒットコアを保存します。トークンは秘密鍵と信頼できるユーザ名/パスワード（ハー​​ドコードされているかどうか）から生成されるトークンベースの認証を使用します。私はまだ安全性について考えて疑問を持っている

しかし、すべての開発者が簡単にAPIのバックエンドエンドポイントを見つけて、自分のユーザー名とパスワード（またはでそれを使用することができますので、...

リバースエンジニアリングは、ケーキの一部でありますハードコーディングされたもの）を使用してトークンを取得します。

次に、トークンは、APIを介して偽のハイスコアを挿入するために使用されます。

私の質問は以下のとおりです。

• は、このセキュリティホールを回避するための方法はありますか？
• RESTFull APIを使用して、サーバーのバックエンドとモバイルアプリを接続する正しい方法はありますか？
• これは、バックエンドDBにデータを保存するAPP-Server通信を開発する正しい方法ですか？

ハードコードされたユーザー名とパスワードが含まれているコードを見つけることはできますが、これは解決できません。

PD：ユーザーは私の質問が広すぎると言います。私は3つの具体的な質問をしました。トピックは、APIに接続するためのアプリ情報の可視性を避けることです。私はあまりにも答えがあることを知っていますが、私は解答がほしくない、唯一の調査方法です。

Answer 1

これを行う完全な方法はありません。理論的には、検証メカニズム（トークン生成）を含め、すべてをデバッグすることができます。

モバイルAPIを使用すると、モバイルアプリがバックエンドと通信し、ほとんどの場合うまく機能します。しかし、あなたの場合は、基本的にAPIがあなたが持っているAndroidアプリを介してのみ使用されていることを確認したいです。これは、通常、通信プロトコルを暗号化し、他の人がそれをデバッグするのを困難にすることによって行われます。したがって、あなたのアプリは、アプリケーション/サーバの内部を知らないと解読するのが難しい方法で通信を暗号化します。しかし、これは最初からやることは難しいです。

既成の解決策が必要な場合は、ハイスコア、アチーブメントなどのためにGoogleのPlay Game Servicesを使用できます。十分安全であるはずですが、現在の状況にどのような影響があるかは言えません。