App 接口数据安全一般怎么处理?

目前在开发一款 App,过程中发现客户端和服务端传输数据可能会发生数据泄漏或者安全隐患，服务端采用的是 java，以主流的框架开发的 spring 为主，数据传输以 http 协议，格式为 json，对于敏感数据做了部分的安全处理，在客户端进行了数据加密再进行传输，但是响应结果以 json 暴露了出来，感觉有点不放心，不知大佬们有啥手段可以处理，我通过抓包拦截其他 app 请求，发现其响应结果都是被处理了，看到都是乱码字符,V 友们友 app 开发经验的希望可以多交流知道。小弟恭候 V 友们！！！

kim2x

2017-09-19 23:57:31 +08:00

@imjeenHttps 是肯定的、JWT 感觉不怎么有效果这东西好像在服务队还是无状态的不怎么安全

LeeSeoung

2017-09-20 09:15:59 +08:00

@cevincheung 网上已经有针对 SSL Pining 的破解方法了，还是#29 说的对，只要你的程序能做的，别的程序也能做。如果你能做到破解成本大于破解后的收益就够了。。

nicevar

2017-09-20 09:50:43 +08:00

看你想挡住多少人了，绝对的安全是没有的，https 还是很有必要的，另外自己把加密封装在 so 里，然后对 so 再进行处理，这样能挡住百分之九十的人了

raptor

2017-09-20 11:31:11 +08:00

HTTPS 可解决 80%的安全问题和至少 20%的其它妖蛾子问题（比如被运营商或路由器劫持之类）

zhouyou457

2017-09-20 11:36:34 +08:00

@sunchen @kim2x 我的意思是把敏感数据封装。。用 base64 编码加密再用 https 传输。。至于怎么封装我就管不了了啊，我以前就直接打个 zip 然后 AES 加个密就行了。。最好在传输编码字符串的时候用 md5 鉴权

phx13ye

2017-09-21 08:37:17 +08:00

https,用 httpclient 一般配置成绕过证书校验，自己实现一个 X509TrustManager 和 HostnameVerifier，这样还安全吗??

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/391952

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.