一尘不染

识别是否来自Android App的HTTP请求?然后适当回应

java

我的Android应用程序具有与之关联的应用程序小部件,该小部件在Android设备上每10分钟更新一次。这些更新将对数据的HTTP请求发送到服务器,并解析服务器响应并根据需要更新App。

到目前为止,如果您从便携式计算机或PC上的浏览器ping该URL,则服务器将响应并更新服务器上数据库中所需的内容。

我想做的是在服务器上收到HTTP请求时,我想确定该请求是否来自Android设备上来自Android设备的Android
App,然后用数据进行响应。我想通过以下方式更改服务器上PHP中的代码,如果HTTP请求来自浏览器或除我的Android
App以外的其他任何内容,它们将显示或重定向到某些页面。

来自应用程序的典型HTTP请求类似于http://example.com/abc.php?usera=abc&datab=xyz

如果该URL来自Android App以外的其他任何地方,我不想以相同的方式响应。这可能吗?什么是实现此目标的好方法。

谢谢你的帮助。


阅读 329

收藏
2020-12-03

共1个答案

一尘不染

您可以在请求中添加签名,然后在服务器端进行检查。

只需进行查询并在末尾添加一个秘密词,然后对其进行MD5处理即可作为标头发送(或用作用户代理)。然后在服务器上执行相同的操作,并检查校验和是否相同。

为了使其更加安全,您可以设置时间戳,以便该请求仅在短时间内有效。

使您的查询看起来像http://example.com/abc.php?usera=abc&datab=xyz×tamp=123456789,其中timestamp是当前时间(以unix时间戳记),并将其添加到您的应用中:

public static String makeCheck(String url)
{
    URL u=new URL(url);
    MessageDigest md = MessageDigest.getInstance("MD5");
    u.getQuery();
    md.update(u.getQuery().getBytes());
    BigInteger bn = new BigInteger(1,md.digest("A_SECRET_WORD".getBytes()));
    return bn.toString(16);
}

当您需要添加标题时,请使用以下内容:

request.addHeader("X-CHECKSUM", makeCheck(url) );

然后,您可以在服务器上使用:

if (md5($_SERVER['QUERY_STRING']."A_SECRET_WORD")!=$_SERVER['X-CHECKSUM']) {
    // Wrong checksum
}

$timediff=60;

if ( $_GET['timestamp']>(time()+$timediff) || $_GET['timestamp']<(time()-$timediff) ) {
    // Bad timestamp
}

请记住,由于服务器时钟和电话时钟可能有点不同步,因此在时间戳上要稍稍松懈。

2020-12-03