CI 묻고 답하기

제목 네이티브앱 api를 만들려고합니다. 인증토큰 발생 및 인증 에대해서 문의드립니다.
카테고리 KI_Board
글쓴이 차가운잎사귀 작성시각 2018/03/22 11:21:49
댓글 : 2 추천 : 0 스크랩 : 0 조회수 : 13314   RSS

안녕하세요?

 

코드이그나이터 기반으로 어플리케이션 네이티브 앱(안드+아이폰)을 제작하고자합니다.

기본적인 동강은 몇군대있어서 봤는데요.

 

기본적으로 계정은 소셜인증과 회원가입폼을 지원하려합니다.

 

제가 궁금한것은 안드로이드단에서 okhttp같은 오픈소스 통신라이브러리로 다양한 파라미터를 담아서

코드이그나이터 컨트롤러에 전달하는게 주목적인데요. (POST JSON방식)

 

별다른 보안절차없이 디비에 넣거나 ,가져오거나, 업데이트하는것은 별로어렵지않은데..

파라미터가 변조되었는지 , 실제 앱을 통해서 발생된 파라미터인지 구분을 어떻게 해야할지 걱정이됩니다.

 

클라이언트(앱) 와 서버간에 어떤 규칙을 통해서 변조가능성을 검증하고 나서  크러드작업을 진행하면될것같은데..

이걸 어떻게 해야할지 잘몰르겠습니다.

 

글,쪽지,스크랩같은 다양한 액션에 따라 디비에 데이터를 넣어야할것같은데.. 제가 생각한 과정은..

 

1. 글쓰기를 하기전에 소셜인증여부확인

2. 글작성폼 화면 띄우기전에 코드이그나이터/API/AUTH.PHP 를 통해 공개키를 다운받음. (서버는 비밀키)

3. 사용자가 작성완료를 눌르면 파라미터에 POST JSON방식으로 공개키+파라미터들을 담아서 코드/API/WRITE.PHP 에 전달

4. WRITE.PHP 에서 공개키와 파라미터들을 보안검증한후 디비에 넣음.

 

 

 

 

서버에는 비밀키 , 클라에는 공개키를 발생시켜서  이걸 조합해서 검증을 해야하는지..

조언좀 해주시면 감사하겠습니다.

 

 

 

 

 

 

 다음글 core/config.php 부분에서 에러가 출력되는 ... (2)
 이전글 unlink()로 폴더내의 모든파일 삭제... (5)

댓글

변종원(웅파) / 2018/03/22 13:24:55 / 추천 1

그렇게 하면 제일 좋습니다. 

응답시간, 서버비용 등을 생각했을때 https + 일반 암복호화(aes256정도) 이용하시면 될것 같습니다.

 

차가운잎사귀 / 2018/03/22 22:28:05 / 추천 0

답변주셔서 감사드립니다.

HTTPS 를 서버에 적용할예정인데..   안드로이드->서버로 암호화해서 처리를 할 필요가있는지 궁금하네요.

유료 코모도 AES256인가로 암호화 처리된다던데.. 제가 AES256을 한번더 암/복호화 하는것은

의미없는 행동인가.. 고민도됩니다..