Comunicação Segura entre App Android e Servidor PHP

Question

Ol&aacute; pessoal!
Vou desenvolver um app Android que vai se comunicar com um servidor PHP. Um dos requisitos desse app &eacute; o login.
O problema &eacute; o seguinte. Existe algum framework ou biblioteca ou alguma outra forma de se fazer a comunica&ccedil;&atilde;o criptografada entre o app e o servidor PHP para que o envio da senha seja segura?
Para tornar a pergunta mais clara vou fazer uma compara&ccedil;&atilde;o. Se fosse um site era s&oacute; usar https e estaria resolvido. Mas como &eacute; um app n&atilde;o sei como fazer.

Answer

O que &eacute; utilizado com muito sucesso &eacute; o sistema de chaves p&uacute;blica e privada; Certamente voc&ecirc; j&aacute; deve ter estudado este procedimento em Seguran&ccedil;a da Informa&ccedil;&atilde;o.

Uma chave privada &eacute; conhecida apenas pelo sistema e pelo app, inacess&iacute;vel aos usu&aacute;rios.

A chave p&uacute;blica &eacute; gerada e concedida ao usu&aacute;rio atrav&eacute;s de canais pessoais e particulares, como o e-mail particular do usu&aacute;rio, por exemplo.

O uso do app &eacute; liberado depois que o usu&aacute;rio introduz a chave recebida no momento em que ele confirmar a inser&ccedil;&atilde;o do c&oacute;digo recebido, pelo qual uma mensagem de controle &eacute; enviada ao servidor, encriptada atrav&eacute;s da composi&ccedil;&atilde;o das chaves p&uacute;blica e privada e disparada automaticamente para confirma&ccedil;&atilde;o. Ao receb&ecirc;-la, o servidor comparara a mensagem recebida com a c&oacute;pia gerada por ele pelo mesmo algoritmo. Da&iacute;, em caso afirmativo o servidor efetua o desbloqueio do aplicativo que ent&atilde;o exibe a tela inicial ou apresenta uma mensagem de erro no procedimento.

Ap&oacute;s o desbloqueio, toda a comunica&ccedil;&atilde;o app/servidor ser&aacute; encriptada por meio desta combina&ccedil;&atilde;o de chaves &uacute;nicas e particulares para cada usu&aacute;rio.

Answer

Recomendo no PHP utilizar o framework laravel que j&aacute; tem pronto um m&oacute;dulo de autentica&ccedil;&atilde;o para API, segue a documenta&ccedil;&atilde;o:

https://laravel.com/docs/5.8/api-authentication

Answer

Eu s&oacute; acho v&aacute;lido constatar que somente https n&atilde;o quer dizer nada em quest&atilde;o de seguran&ccedil;a em autentica&ccedil;&atilde;o. Claro, &eacute; uma camada a mais mas n&atilde;o &eacute; tudo. Existem in&uacute;meras quest&otilde;es referentes a autentica&ccedil;&atilde;o que valem a pena serem estudadas, como por exemplo nunca, jamais, em hip&oacute;tese alguma, salva-se uma senha crua/literal em banco de dados. Como mencionado acima, recomendo o uso de frameworks que tratar&atilde;o boa parte dessa quest&atilde;o para voc&ecirc;.

Answer

Descobri uma forma. Usando https mesmo. D&aacute; pra pegar informa&ccedil;&otilde;es https em Java no Android.

Sobre framework a equipe est&aacute; analisando se usa CodeIgniter ou se faz sem framework. Se a gente usar o CodeIgniter vamos ter que ver como ele trata essa quest&atilde;o de armazenamento de senha. Se a gente decidir n&atilde;o usar esse framework, a gente vai usar uma criptografia unidirecional para armazenar a senha (provavelmente MD5), e poder&iacute;amos fazer uma an&aacute;lise sobre o uso de sal.

Ferramentas

Mover Tópico