Google vient de publier un article très intéressant sur son blog développeur Android. Il détaille la possibilité d’authentifier la communication entre les apps android et les services web via un token OAuth fourni par Google. En d’autres termes, l’application Android utilise les services de Google Play pour permettre aux serveurs fournissant les services web utilisés de vérifier la validité de l’appel (vient-il bien de l’application ou a-t-il été corrompu ?) et de reconnaître l’utilisateur de l’application. Les bénéfices sont multiples :
- L’authentification est transparente pour l’utilisateur. La reconnaissance étant basée sur son compte Google, aucune authentification supplémentaire ne lui est demandée.
- L’envoi des données est plus sécurisé (https obligatoire pour assurer la sécurité).
- Le code client et serveur est plus simple pour gérer l’authentification de l’utilisateur.
- Il est beaucoup plus difficile pour une application piratée d’utiliser nos services (et donc l’application). Le chiffrement est assuré par les services de Google (utilisation de certificats pour les initiés), ce qui rend l’utilisation des services de l’application impossible sur un téléphone rooté.