Я использую (с удовлетворением) некоторые веб-сервисы из приложения для Android.
Я использую https (я купил SSL-сертификат).
Я хочу предотвратить нежелательный доступ со стороны тех, кто знает URL-адреса моих веб-сервисов.
Я использую «секретный ключ», который приложение должно предоставить методу веб-службы, но он хранится в постоянной переменной внутри кода, и я знаю, что это не лучшее решение для обеспечения безопасности.
Вызов веб-службы Android (с использованием ksoap):
try {
SoapObject request = new SoapObject(configuration.getNamespace(), methodName);
request.addProperty("securityKey", SECURITY_KEY);
Веб-служба C#
[WebMethod]
public string UserRegistraion(string securityKey, string data)
{
if (securityKey != Environment.SecurityKey)
{
return "WRONG_KEY";
}
Каков наилучший способ достижения окончательного решения?
ИЗМЕНИТЬ:
Как кто-то предложил, я задал тот же вопрос и на security.stackexchange.com.
https://security.stackexchange.com/questions/30850/web-services-how-prevent-illegal-accesses