私は、ローカル・データベースとAWS RDSの両方を持っているモバイルアプリに取り組んでいます。データは、ユーザーデータをバックアップすることができ、更新されたデータがアプリに送ることができるように両方の方法を渡す必要があります。私はアプリ自体にデータベースの資格情報を置くことを避けるためにAPIを設定します。APIのトリガ・コードはRDSと対話するためにクラウドでホストされています。
私は理解しているように、AndroidのAPKファイルを簡単にハッキングすることができます。私は、リバースエンジニアリングからアプリケーションのAPI呼び出しを誰かを防ぎ、RDSからプライベートユーザデータを取得する方法のためのソリューションをしたいと思います。誰かが、彼らはすべてのユーザーに属するデータにアクセスすることができ、API呼び出しをフォーマットする方法を知っているかどうかは、現在のよう。
あなたは、APIの認証メカニズムを必要としています。通常のAPIを用いて保護されているAuthorization Token
ログインに成功して得られました。ユーザーが正常にログインすると、あなたは認証トークンを発行する必要があり、ストアは、デバイスに必要性がさらにAPI呼び出しで渡されるという嗜好を共有しました。私が使用することをお勧めJWTすべての主要なプログラミング言語で、シンプルで利用可能に。トークンJWTで、ユーザーの一意の識別子をエンコードし、あなたのAPIユーザーのみが作成できるような方法を設計し、読み取り、更新、JWTでエンコードされた識別情報に基づいて削除します。これにより、ユーザートークンが侵害された場合、そのトークンは唯一、データベース内のすべてのデータ、ユーザー固有のデータを誤用していないために使用することができたとします。