ну я хочу безопасное приложение, работа с деньгами в приложении например

SSL пиннинг поможет, протухание токенов — нет.

ну вообще для таких приложений там на каждое действие подтверждение кода с смс, но посмотреть твои данные карты и транзакции, с вечным токеном не прикольно

прикольно вводить пароль заново, ага

в смысле?

ты авторизуешься и тот кто у тебя его увёл, теряет доступы

тот, кто увёл, переавторизуется, и ты теряешь доступы

тот, кто увёл, переавторизуется, и ты теряешь доступы

как он переавторизуется если тот токен что он увёл уже будет не валидный? и ему уже нужен будет код подтверждения с смс) ну и твой номер) для получения валидного токена, ну или воруй заного)

погоди, ты собираешься отзывать рефреш-токен, если у пользователя началась новая сессия?

ты авторизуешься и тот кто у тебя его увёл, теряет доступы

поэтому я и говорю что если у тебя кто-то что-то украл, тебя разлогинет и ты такой: "что за нафиг?" логинешься и злоумышленик теряет доступы.

можно и так сделать

Зашёл со второго телефона, разлогинило на первом. Ты такой «что за нафиг?» Перелогиниваешься, разлогинивает на втором. Удаляешь приложение на обоих.

??? ну это уже делать на 2е сесии, я тебе про безопастность а ты мне про то как на 2ух телефонах авторизоваться

так зато безопасно) И я ещё раз говорю, можно и на 2е сесси сделать. у тебя просто желания нет. Тебе лиж бы быстро запилить))

и как сделать так чтоб немогли? Расскажи я вообще не буду париться

так его тоже подменяют

подскажите с загрузкой локального js в вебВью, вроде включено все и хром клиент есть. По прямой ссылке работает, а локально вытягивает все но js файл не запускается. на девайсе андроид 7 webView?.settings?.javaScriptEnabled = true webView?.settings?.domStorageEnabled = true webView?.webChromeClient = WebChromeClient() webView?.loadUrl("file:///android_asset/html/index.html") webView?.webViewClient = WebViewClient()

Пиннинг.

xposed

Если у себя захочешь отсниффить, никто не остановит)

https://habr.com/post/307774/

так там для каждого пользователя свой ssl pinning?

и подменяй себе

https://habr.com/post/307774/

берёш там эту подпись

номер симки, локальный ip, google advertising id, IMEI, наличие рута?..

номер симки, локальный ip, google advertising id, IMEI, наличие рута?..

вообще полезно, безопасность)) видно если телефон другой)

Как я понял ничего интереснее OAuth 2 и нет) Вопрос, access token делают на не продолжительное время, например 5 минут. Потом ты получаешь 401 и должен сделать переавторизацию отправив refresh token с получением нового access и refresh токена. Так вот: 1) нафиг нужен access token если ты в какой-то момент ты всё-равно шлёш refresh который могут перехватить? Ну тут получается обязательно делать тот рефреш не валидным иначе им можно будет пользоваться. А так нужно ещё и получить от сервера новый сгенерированный рефреш токен)) 2) сам механизм переавторизации на андроид геморный. так как могут быть паралельно 2а и более запросов и в этот момент кончается access token, надо ставить все запросы в очередь, потом надо обновлять access token, и повторять все запросы. Есть какие-то примеры как это нормально делают? Просто я сам писал, хочу посмотреть как другие делали этот механизм переавторизации.

так там для каждого пользователя свой ssl pinning?

ssl пининг - защита от mitm

ssl пининг - защита от mitm

лично я его вижу как очередной способ за-shit-ы от реверс инжиниринга

не-не, полно же MITM в точках доступа

так а откуда у них доверенный сертификат возьмётся?

если бы это работало, то SSL/TLS был бы фундаментально сломан и никаких гарантий безопасности бы не предоставлял

продублирую тут мой вопрос... Anton Potekhin, [25.04.18 16:53] Вот пытаюсь разобраться с MVVM и никак не пойму как правильно делать слой данных. Вот например есть StatusViewModel у которой есть statusLiveData на который подписан View. Так же в StatusViewModel есть метод getStatus который джолжен иницировать запрос статуса через API. Для API используется retrofit. Грубо говоря есть метод Observable<Token> getStatus(); Так вот сейчас на скорую руку сделал в метода getStatus: Observable<Token> obsToken = App.getApi().getStatus(); subscribe = obsToken.subscribeOn(Schedulers.io()) .subscribe(_token -> { statusLiveData.postValue("token: " + _token.getToken()); })); Но насколько я понимаю это не правильно. Но вот как делать правильно не пойму. Покажите направление куда думать ;)

Почему не правильно?

Чувствую что нужно как-то более модно и молодежно сделать... Я тут использую getApi. И соответственно у меня вьюмодель привязана к ретрофиту жёстко. И если мне захочется сменить его на что-то другое то придется и вьюмодель менять...или я не прав?

Да в соседней группе меня уже послали на репозитории ;)

Пошел изучать примеры про репозитории

Но как я понял нужно получить "URL регистрации", по которому зарегаются тестеры