如何在 android 中安全(间接)查询 postgresql 数据库?
Posted
技术标签:
【中文标题】如何在 android 中安全(间接)查询 postgresql 数据库?【英文标题】:How can I securely (indirectly) query a postgresql database within android? 【发布时间】:2012-06-04 12:45:18 【问题描述】:我必须采用的当前解决方案使用 JDBC 并将数据库的用户/密码存储在 android 应用程序中。就我而言,这不是一个好的解决方案。我想在中间的网络服务器上实现一个映射层。
对此是否有任何最佳实践或推荐策略?我应该使用 SOAP 或 JSON 还是完全不同的东西(因为它们在 Java 中实现得很好和/或易于使用)? 是否有任何用于 postgresql SOAP/JSON/php 中的任何东西的映射工具,还是我需要自己编写这些脚本?
任何指针将不胜感激。
【问题讨论】:
【参考方案1】:快速版:
使用在您控制的公共主机(可能但不一定是数据库主机)上运行的 Web 服务中间层。公开公共 Web 服务方法以完成您希望允许的有限工作,仅此而已。
相关问题:
Driver JDBC PostgreSQL with Android How to connect to a PostgreSQL server via JDBC in Android?实施选项
我个人会使用像Apache Tomcat 或JBoss AS 7 这样的Java 应用程序服务器,我会使用JAX-RS 编写我的Web 服务方法,以生成一个不错的REST 样式API 供我的应用程序使用。这就是我所熟悉的并且效果很好,但是您有很多选择,包括以下实现:
使用 HTTP 请求并生成 JSON 或 XML 回复的类 REST API(Java 的 JAX-RS impls Jersey 和 RESTEasy,以及各种其他语言工具)。
带有 WSDL 的 SOAP,经典的“Web 服务”层。在 Java 中使用 JAX-WS 以及其他选项完成。大多数语言都有 SOAP+WSDL 工具,但使用起来有点糟糕,尤其是在手机等间歇性连接的设备上。
XML-RPC 如果你喜欢痛苦
JBoss AS 7 quickstarts 列表中有一些 JAX-RS quickstarts;只需搜索“JAX-RS”。 “kitchen sink”快速入门很有用,但如果您不熟悉 JBoss AS 7 和 Jave EE 6 的基础知识,可能并不理想。对于 JAX-RS 细节,您最好使用 Jersey 或 RESTEasy 教程,例如this 或 this。
重要注意事项
如果可能,请使用 HTTPs,如果不公开访问,请使用合适的 HTTP 身份验证方案,例如基于 HTTPs 的 HTTP Basic auth。任何体面的 Web 服务实现都将提供身份验证选项或支持其运行平台的身份验证选项。避免在 Web 服务层实现自己的身份验证和用户管理的诱惑,您会搞砸了;在已经编写和测试的 HTTP 层使用身份验证。这可能需要使用 Apache 的 mod_auth_pgsql
、JBoss AS 7 的 JDBC 安全领域等。我认为不做适当的每用户 HTTP 身份验证的唯一情况是我不需要为了安全而分开我的用户原因,我只关心它是我的应用程序访问服务器,即如果我的安全要求很弱。在这种情况下,我会为整个应用程序使用固定的用户名/密码,如果 Android 支持它们,可能还会使用 X.509 客户端证书。
请记住,无论您如何保护事物,所有凭据要么为用户所知,要么可以从 .apk 中轻松提取,因此您仍然必须假设任何人都可以访问您的 Web 服务方法,而不仅仅是您的应用程序。相应地写出来。
不要只是通过 Web 服务调用从您的应用程序向服务器发送 SQL 并将结果作为 JSON 返回。这是非常不安全的,而且丑陋和笨重。为您希望应用程序能够执行的每个单独任务编写一个 Web 服务方法,并将 SQL 保留在服务器中。请记住使用参数化查询并注意其他 SQL 注入风险。这些 Web 服务方法可以使用一个或多个查询来生成单个回复 - 例如,您可能会收集“客户”记录以及所有相关的“地址”和“联系人”记录,然后将结果以漂亮的 JSON 对象返回到 Android 设备可以消耗,节省大量缓慢且不可靠的网络往返。
无论您使用什么,请确保在后台工作线程中进行 Web 服务调用,并且不要阻塞用户界面。为超时和错误以及重试的需要做好准备。通过模拟间歇性连接丢失、高延迟和高丢包率来测试您的应用,并确保它仍然可用。
【讨论】:
感谢您的详细解答。你提出的许多观点对我来说已经很清楚了,但那些没有得到太多帮助的观点。只有一件事:为什么要在我们不区分用户的环境中对 API(Web 服务)进行密码保护?其他人可以以自己的方式使用 API 的全部意义不就是吗?或者您是否更愿意使用 API 作为另一个安全层来处理可能尚未检测到的错误或漏洞? @Lichtblitz 偏执狂,主要是。如果您不区分用户,那您是对的,这没什么意义,因为任何人都可以从您的 .apk 中提取凭据以直接使用您的 API。【参考方案2】:有没有最佳实践:
这取决于人。都有自己的长处和短处。 我更喜欢,而且我认为很多人但不是所有人都会同意 JSON,因为它在 Android 中非常容易使用。它也是轻量级的,非常容易在 php 中使用。 Php 具有将数组/对象转换为 json 并返回的方法。
确实不建议将您的 postgres 数据保存在 android 设备上。
我的策略通常是:
带有 POSTGRESQL 数据库的 PHP 服务器端,使用 PDO 在我的模型和数据库之间进行通信。
如果你不熟悉 PDO(php 数据对象),我建议你自己熟悉一下。
php.net PDO
Android 作为客户端,使用 JSON 作为传输数据的方法。
有很多例子可以帮助你。
Android 具有处理 json 解析的标准库。
请参阅此答案以获取示例:
example
【讨论】:
感谢您的回答和指点。它对研究我解决问题的方法有很大帮助。以上是关于如何在 android 中安全(间接)查询 postgresql 数据库?的主要内容,如果未能解决你的问题,请参考以下文章
如何消除间接呼叫 Method 在 Android Studio 中的编译警告