Верификация подключения к серверу приложений?

Question

У меня есть приложение для Android, которое отправляет HTTP-запросы POST на сервер для изменения данных. В этом запросе отправляется идентификатор пользователя и устройства, чтобы убедиться, что пользователь действительно использует устройство, в которое они вошли.

Однако это означает, что любой, у кого есть идентификатор устройства и их идентификатор пользователя, может отправлять запрос и изменять данные.

Как я могу сделать сообщение более безопасным и добавить подтверждение, что запрос из моего приложения?

Я не могу просто добавить к нему случайные заголовки со статическими значениями, поскольку заголовки могут быть легко добавлены в запрос cURL.

Answer 1

Внесите OAuth на свой сервер и сгенерируйте потребительский ключ и секретный (специфичный для приложения), который является уникальным для вашего приложения и использует ключ потребителя, и секрет вашего приложения сначала сгенерирует маркер запроса, и он обменяет токен запроса на токен доступа.
Теперь вы можете получить доступ к защищенным ресурсам.

Есть библиотеки, чтобы сделать этот процесс проще, вы можете проверить на стороне клиента и на стороне сервера библиотеки в этой ссылке https://oauth.net/code/#client-libraries

OAuth1.0a https://oauth.net/core/1.0a/

(последняя) OAuth 2,0 https://oauth.net/2/