Как проверить запросы https, исходящие от приложения Android на стороне сервера?

Question

У меня есть два приложения. Первое приложение - это узел js-сервера с аутентификацией outh2. Во-вторых, это приложение для Android, передающее HTTP-запросы на сервер. Как проверить HTTP-запросы, поступающие из приложения Android на стороне сервера? Скажем, разработчик загружает APK-отпечаток apk cert на сервер и подписывает каждый HTTP-запрос. Используя отпечаток apk cert, загружаемый на сервер и последующую проверку запроса?

Answer 1

Типичный HTTPS позволяет клиенту проверить, что он разговаривает с сервером, которого он ожидает. Вы хотите этого, но также иметь сервер, чтобы убедиться, что он разговаривает с известным клиентом. Это называется mutual authentication.

Реализация этого не входит в сферу охвата того, что я мог бы здесь описать, но если вы поделитесь этой темой, то вы ее начнете. Как и в случае со всеми механизмами безопасности, не сворачивайте свои собственные. Вы почти наверняка сделаете ошибки, которые уже были сделаны и разрешены другими.