个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
25
4
我有一个跨 iOS 和 Android 运行的应用程序。我正在努力向该应用添加推送通知。
在非常高的级别上,设备向 Apple 推送通知服务 (APNS) 或 Google Cloud Messaging (GCM) 注册并接收 token 。然后他们将该 token 交还给负责发送通知的服务器。该服务器在需要时向 APNS 或 GCM 发送通知,并说“将此通知发送到具有这些 token 的设备”。
因此,我的应用程序需要能够安全地将它们的 token 发送到我的服务器,并在用户不想再接收通知时从服务器中删除这些 token 。在处理 ?create=<token> 的服务器端添加一个简单的 CRUD 页面非常容易。 , ?delete=<token>等
但是当有人访问我的服务器并开始为 ?delete=<token> 发送随机值时会发生什么? — 似乎他们可以随意删除随机设备 token ?
我仔细考虑了“删除”的情况,我认为这应该很简单:应用程序只需发送生成的公共(public)解密 key 和初始的“创建此 token ”请求即可。该 key 可以针对 token 存储。当应用程序想要删除时,它可以发送 token 的加密副本,服务器可以将 token 与解密副本进行匹配,验证应用程序必须拥有与私有(private)加密 key (这是一个已知的 secret )相匹配的存储公钥仅适用于应用程序)。
当有人开始为 ?create=<token> 发送随机值时会发生什么— 他们会用假设备 token 填充我的数据库表吗?
我看不出一个简单的答案 — 限制来自任何单个 IP 地址的“创建”请求的速率似乎是我们在不涉及注册的情况下所能做的最好的事情。这显然不会帮助我们抵御任何分布式攻击。
理想情况下,我希望默认启用推送通知/用户无需“注册”或类似的操作。我的第一个想法是每个设备 token 都应该绑定(bind)到一个已知的规范 Apple ID 或谷歌帐户——但我如何阻止用户伪造这些帐户?设备是否附带我可以获得权威公钥的证书(在这种情况下,每个设备只能获得与其公钥相关联的行)?我在这里实现身份验证的最佳方式是什么?
最佳答案
android 问题的解决方案可以找到Here .简而言之可以概括为
You use the GoogleAuthUtil class, available through Google Play services, to retrieve a string called an “ID Token”. You send the token to your back end and your back end can use it to quickly and cheaply verify which app sent it and who was using the app.
关于android - 当我的移动应用程序向我的服务器报告它们的设备 token 时,我应该如何处理身份验证?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/16273474/
25
4
0
我正在尝试在Elasticsearch中返回的值中考虑地理位置的接近性。我希望近距离比某些字段(例如legal_name)重要,但比其他字段重要。 从文档看来,当前的方法是使用distance_fea
我是Elasticsearch的初学者,今天在进行“多与或”查询时遇到问题。 我有一个SQL查询,需要在Elastic中进行转换: WHERE host_id = 999 AND psh_pid =
智能指针应该/可以在函数中通过引用传递吗? 即: void foo(const std::weak_ptr& x) 最佳答案 当然你可以通过const&传递一个智能指针。 这样做也是有原因的: 如果接
我想执行与以下MYSQL查询等效的查询 SELECT http_user, http_req_method, dst dst_port count(*) as total FROM my_table
我用这两个查询进行测试 用must查询 { "size": 200, "from": 0, "query": { "bool": { "must": [ { "mat
我仍在研究 Pro Android 2 的简短服务示例(第 304 页)同样,服务示例由两个类组成:如下所示的 BackgroundService.java 和如下所示的 MainActivity.j
给定标记 like this : header really_wide_table..........................................
根据 shouldJS 上的文档网站我应该能够做到这一点: ''.should.be.empty(); ChaiJS网站没有使用 should 语法的示例,但它列出了 expect 并且上面的示例似乎
我在 Stack Overflow 上读到一些 C 函数是“过时的”或“应该避免”。你能给我一些这种功能的例子以及原因吗? 这些功能有哪些替代方案? 我们可以安全地使用它们 - 有什么好的做法吗? 最
在 C++11 中,可变参数模板允许使用任意数量的参数和省略号运算符 ... 调用函数。允许该可变参数函数对每个参数做一些事情,即使每个参数的事情不是一样的: template void dummy(
我在我从事的项目之一上将Shoulda与Test::Unit结合使用。我遇到的问题是我最近更改了此设置: class MyModel :update end 以前,我的(通过)测试看起来像这样: c
我该如何做 or使用 chai.should 进行测试? 例如就像是 total.should.equal(4).or.equal(5) 或者 total.should.equal.any(4,5)
如果您要将存储库 B 中的更改 merge 到存储库 A 中,是否应该 merge .hgtags 中的更改? 存储库 B 可能具有 A 中没有的标签 1.01、1.02、1.03。为什么要将这些 m
我正在尝试执行X AND(y OR z)的查询 我需要获得该代理为上市代理或卖方的所有已售属性(property)。 我只用 bool(boolean) 值就可以得到9324个结果。当我添加 bool
我要离开 this教程,尝试使用 Mocha、Supertest 和 Should.js 进行测试。 我有以下基本测试来通过 PUT 创建用户接受 header 中数据的端点。 describe('U
我正在尝试为 Web 应用程序编写一些 UI 测试,但有一些复杂的问题希望您能帮助我解决。 首先,该应用程序有两种模式。其中一种模式是“训练”,另一种是“现场”。在实时模式下,数据直接从我们的数据库中
我有一个规范: require 'spec_helper' # hmm... I need to include it here because if I include it inside desc
我正在尝试用这个测试我在 Rails 中的更新操作: context "on PUT to :update" do setup do @countdown = Factory(:count
我还没有找到合适的答案: onclick="..." 中是否应该转义 &(& 符号)? (或者就此而言,在每个 HTML 属性中?) 我已经尝试在 jsFiddle 和 W3C 的验证器上运行转义和非
import java.applet.*; import java.awt.*; import java.awt.event.*; public class Main extends Applet i
我是一名优秀的程序员,十分优秀!