Merhabalar,

Android de (amatörce) geliştirdiğimiz bir uygulama için bir Spring RESTful bir sistem kurduk. Serverimize sadece kullanıcı adı ve şifreyi bilen kişilerin post ve ya get yapmasını istiyoruz (Üyelik sistemi değil. Sadece herkes post get yapmasını istemiyoruz). Bu bilgilerde android uygulamasının içinde login bilgileri olarak kodda gömülü ve login call'ı yaptığımız zaman bu bilgiler servere gönderilip kontrol ediliyor doğru ise işlemi yapılıyor yanlış ise yapılmıyor.

Bu yöntem şuan için sadece "çalışıyor". Ancak bilgiler havada uçuşuyor ve çok basit bir şekilde yakalanabilir diye tahmin ediyorum. Bilgileri yollarken şifrelemek lazım. Bu konuda bir kaç yazı okudum araştırma yaptım. Private public key vs. Bu ancak bilginin ele geçirilememesini sağlar ancak kötü niyetli şahıs encrypt edilmiş kullanıcı adı ve şifreyi elde ettikten sonra bunun da bir anlamı kalmıyor. Servere şifrelenmiş hali giderse server bunu decrypt edip logine izin verecektir. Burada nasıl bir yaklaşım izleniyor büyük firmalar tarafından? Mesela uygulamam da Twitter API kullansam ve kullancı adı-şifre kompinasyonu ile giriş yapmak istesem orada nasıl bir işlem gerçekleşiyor.

Yardımcı olursanız sevinirim. Şimdiden teşekkürler.

soruldu: 18 May '15, 03:39

araknafobia's gravatar image

araknafobia
26346
cevap kabul oranı: 0%


Java security klasindan md5 formati ile encript edebilirsin.Ancak bu uzun datalarda nasil bir sonuc dogurur dogrumudur kullanimi bilmiyorum .Surdan browser uzerinden test edebilirsin surayi Surdan

[1]: http://www.md5.cz/ herhangi bri data gir .

Javada uise bunu java.lang.security paketinde MD5 ile encript edebilirsin.

Su kod calisan bir md5 orneigidir

 public String MD5(String md5) {
    try {
        java.security.MessageDigest md = java.security.MessageDigest.getInstance("MD5");
        byte[] array = md.digest(md5.getBytes());
        StringBuffer sb = new StringBuffer();
        for (int i = 0; i < array.length; ++i) {
            sb.append(Integer.toHexString((array[i] & 0xFF) | 0x100).substring(1,3));
        }
        return sb.toString();
    } catch (java.security.NoSuchAlgorithmException e) {
    }
    return null;
}

*Ayrica custom guvenlik onlemi de kurgulayabilirsin.Login veya registreda gcm uzerinden aldigin key i gonderir sonrasinda da bu key karisiiginda service tarafindan uretilen bir key vererek client in sana bu key ile basvurmasini saglayabilirsin. aouth2 gibi bir sey umarim faydali olmustur.Facebook buna benzer bir secur yapisi kullaniyor.Twitter nasildir bilmiyorum.dedigim gibi encrypte edebilir server tarafindada deencrpt yapabilirsin.Bir diger secenek de http post header ina encrpt edilen datalri da eklyerek dahada guvenli hale geitrebilirsin. Sonucta post dogru veri olmadan donus yapmayacaktir.sen encrypte edilen bir icerigi post methodu ile header a ekler isen surdaki gibiPOSTHEader *

permanent link

cevaplandı: 20 May '15, 05:28

Numan's gravatar image

Numan
673101422
cevap kabul oranı: 6%

değiştirildi: 20 May '15, 05:43

Öncelikle yorumunuz için teşekkürler. Hala kafamın almadığı bir durum var kusura bakmayın tekrar sorucam :). (aouth2 dışında konuşuyorum) Kullanıcı bilgilerim şöyle --> username = x password = y. Ben bunları encrypte ettim diyelim z ve w oldu. Bu bilgiler giderken araya giren adam z ve w değerlerini alırsa yine servere giriş yapamaz mı? Sonuçta server o değerleri alacak ve güzel bi şekilde deencrpt edecek :) Bende android uygulamam da birebir sizin yolladığınız linkte ki gibi yapıyorum postu. Aynı şekilde handshake yaparken de değerleri gcm üzerinde gönder demişsiniz gcm nedir?

(26 May '15, 15:53) araknafobia araknafobia's gravatar image

Oncelikle GCM google play service bir gogle apisisdir.basitinden her bir telefonun logunun gogleda tutulmasini saglar.Acilimi Google Cloud Managing dir.Dedigim gibi en basit aciklmasi yukaridaki gibi bir cok islem de yapabilmektedir en cok karsilasilan ise push notification dir. Kafanin karisik oldugu noktada ise sunu soyleyebilirim.seni yakalayabilecegini neye gore farz ediyorsun.Bir suru olasilik demek.tum urlleri denedigini faz ediyorsun sen su anda.He dersenki logdan yakalar cashden yakalar bu developerin hatasindan kaynaklidir.shared a yazar okunablr bir sekilde vesair bir cok onlem var

(02 Haz '15, 18:45) Numan Numan's gravatar image
Cevabınız
toggle preview

Bu soruyu takip et

E-Posta üzerinden:

Üyelik girişi yaptıktan sonra abonelik işlemlerini yapabilirsiniz

RSS üzerinden:

Cevaplar

Cevaplar ve Yorumlar

Yazı Formatlama

  • *italic* ya da _italic_
  • **bold** ya da __bold__
  • link:[text](http://url.com/ "başlık")
  • resim?![alt text](/path/img.jpg "başlık")
  • liste: 1. Foo 2. Bar
  • temel HTML etiketleri de kullanılabilir

Bu sorunun etiketleri:

×39
×20

Soruldu: 18 May '15, 03:39

Görüntüleme: 1,178 kez

Son güncelleme: 02 Haz '15, 18:45

powered by BitNami OSQA