Bonjour,
je suis actuellement entrain de développer une application Android, et l'application doit communiquer avec une API REST.
Mon API est actuellement non sécurisée.
Pour la sécurisation de celle ci je me suis mis en quête des best practices et je suis tombé sur ceci :
Article
Avec les méthodes décrites je comprends comment on peut sécuriser une API REST. Et que quiconque souhaitant utiliser l'API doit pouvoir générer une signature.
Ce qui veut dire que si une personne mal intentionnée souhaite s'en prendre à mon application, il faut que cette personne connaisse la méthode de génération de signatures (algorithmes, clé d'API etc). Et ceci est bien quand la méthode de génération de la signature se trouve sur un serveur sécurisé (serveur web php qui communique avec une API par exemple). Mais dans mon cas la méthode de génération de signatures va se trouver dans mon application Android. Or il est relativement simple de se procurer l'APK d'une application (je crois), de la décompiler et du coup de pouvoir voir tout ce qui concerne cette fameuse méthode (clé d'API, algorithmes ...), afin de pouvoir régénérer la signature et donc de faire n'importe quoi avec mon API.
Donc ma question est la suivante : que faire quand on veut sécuriser un couple Application Android - API REST ?
Merci d'avance, je suis peut-être passé à côté de quelque chose.
Partager