私はいくつかのデータを取得するためにデータベースサーバーに接続するアンドロイドでモバイルアプリケーションを作成しています。自己作成のトークンを使用した初めてのWebサービス認証の使用
私のアーキテクチャでは、アプリの最初の入力時に、ユーザが前にアプリケーションを使用したかどうかを確認するチェックがあります。
初めての場合はランダムなトークンを作成して携帯電話番号を取得し、ユーザーのテーブルに保存できるようにその組み合わせをサーバーに送信します。
その後、リクエストごとに、番号とトークンをリクエストとともに送信し、リクエストが実際に有効なソースから来ているかどうかを確認します。 (要求がHTTPSにあるので、誰かが文字通りローカルdbまたはオンラインdbに入るのでなければ、トークンは見つからないでしょう)。
私の懸念は、トークンと携帯電話番号を初めて送信するとどうなりますか?もし誰かがPHPファイルのアドレスと名前を知ることができれば、簡単にPOST要求を送信して、たくさんの偽のトークンと携帯電話番号でデータベースに侵入することができます。
これを乗り越える方法はありますか?