在 php 文件上的安卓凌空 POST 请求的安全性

当您从 android 发送请求时，请使用某种加密(可能是 RSA(加密您的有效负载，然后在服务器端解密该请求，如果解密成功，您可以确保该请求是真实的并且不会被更改。

在 PHP 中生成私钥文件

$config = array(
"digest_alg" => "sha512",
"private_key_bits" => 4096,
"private_key_type" => OPENSSL_KEYTYPE_RSA,
);
$keys = openssl_pkey_new($config);
$priv = openssl_pkey_get_private($keys);
openssl_pkey_export_to_file($priv, 'private.pem');

使用 OpenSSL 从私钥文件生成公共 .der 文件

openssl rsa -in private.pem -pubout -outform DER -out public.der

在 Java 中导入和使用公钥(Android 端(：

File pubKeyFile = new File("public.der");
DataInputStream dis = new DataInputStream(new FileInputStream(pubKeyFile));
byte[] keyBytes = new byte[(int) pubKeyFile.length()];
dis.readFully(keyBytes);
dis.close();
X509EncodedKeySpec keySpec = new X509EncodedKeySpec(keyBytes);
KeyFactory keyFactory = KeyFactory.getInstance("RSA");
RSAPublicKey publicKey = (RSAPublicKey)keyFactory.generatePublic(keySpec);

在安卓中对有效负载进行编码(根据您的要求获取字节(

Cipher cipher = Cipher.getInstance("RSA/ECB/OAEPWithSHA-1AndMGF1Padding");
cipher.init(Cipher.ENCRYPT_MODE, publicKey);
String payload = "tejashwi kalp taru";
byte[] encryptedBytes = Base64.getEncoder().encode(cipher.doFinal(payload.getBytes()));
String encryptedData = new String(encryptedBytes));
//send encryptedData to server for decryption

在 PHP 中解密您的有效负载：

$fp = fopen("private.pem", "r");
$privateKey = fread($fp, 8192);
fclose($fp);
$res = openssl_get_privatekey($privateKey);
$cipher = base64_decode($cipher);
openssl_private_decrypt( $cipher, $decrypted, $res, OPENSSL_PKCS1_OAEP_PADDING );
// $decrypted is the result

用于演示的 Git 存储库：https://github.com/tejashwikalptaru/encrypted-communication

一般来说，没有。做不到。无论你的应用做什么，用户都可以在不使用你的应用的情况下做完全相同的事情。

但是，您可以使复制应用的功能变得困难。如前所述，使用加密可以实现此目的：攻击者必须从您的应用中提取密钥并复制您的加密逻辑。

同样，您可以设置自定义标头，可以检查其他标头是否与您的应用程序将发送的内容匹配，您可以检查有效负载的详细信息以查看它们是否与应用程序将发送的内容匹配，等等。其中任何一个都使得构建一个合法的请求变得更加困难，但没有人会阻止它。

但是，可以防止一些攻击媒介：例如，如果您特别想要阻止来自未修改的Web浏览器的请求，则可以检查无法从Javascript设置的标头：https://developer.mozilla.org/en-US/docs/Glossary/Forbidden_header_name