안드로이드 개발 질문/답변
(글 수 45,052)
앱과 웹이 아닌
앱과 서버간의 세션통신에 대해서 고견을 여쭙고자하는데요
환경
단말기 : 안드로이드
서버 : ASP.NET
HTTP 통신 (HTTPS는 사용하지 않음)
먼저 앱과 서버간의 세션통신의 목적은 앱에서 서버로 데이터를 요청시 해당 요청이 정당한 요청인가를 판별하기 위한
세션정보를 단말에서 받는다 인데요.
제가 생각한 세션통신은 최초 단말기가 앱을통하여 로그인을 하면 서버는 로그인정보로 사용자를 확인하고 세션을 발급합니다.
발급한 세션은 의미있는데이터들과 중간 구분자와 같은데이터를 암호화 하여 보내게 됩니다.
단말기는 이 세션을 가지고 있고 서버에 요청시 세션값을 같이보내며 서버는 이 세션값을 복호화하고 데이터를 구분자를 통하여
나누어져 의미있는 데이터가 되는지를 확인합니다. (단지 구분자를 통해 나누어지느냐에서 끝나며 따로 DB와 값을 비교하는것은 없습니다)
이정도로 생각해봤는데요.
악의적으로 중간에 패킷을 뽑아서 보았을때 세션이 암호화가 된들 그것을 서버에 보내면 서버에서 복호화가 되는데 이게 맞는것인지...도
의문이구요...
통상적으로 위와같이 정상적인 단말에서 정상적인 방법으로 서버에 데이터를 요청했는지에 대한 판별을 이와같이 진행하는게
괜찮은 방법인지
아니면 통상적이거나 혹은 좋은 방법이 있는지
많은분들의 고견을 여쭙습니다. ]
감사합니다.




패킷을 열어 보시면
단지 서버에서 Client를 식별하는 아이디만 있습니다.