我有一个多平台项目。

它具有Web端和android端。你们建议如何验证我正在通过Web服务与之交谈的客户端是我的android客户端？有人对我应该如何认证这两个有任何想法吗？

我正在考虑将令牌字段保存在user表中，其内容是基于客户端数据的一些唯一哈希，服务器可以识别这些哈希。但是，我不知道可以将哪些信息用作哈希的基础。

我应该使用哪些客户端信息来创建哈希值以用作身份验证令牌？

如果需要此信息，则将我的Web服务作为静态API呈现给客户端，并在服务器端用PHP编写。

谢谢。

您可以让客户端和服务器使用SSL相互通信，并配置服务器以要求客户端证书。有关更多信息，请参见例如https://docs.oracle.com/cd/E19424-01/820-4811/aakhe/index.html。

但是，这不能保护您免受恶意黑客的攻击，黑客可以从您的客户端提取证书并将其添加到自己的应用程序中。