android APP的服务器端怎样开发

你可以找本讲android的书看看，我记得很多国内的书都会在最后讲几个实战项目，涉及到服务器开发，最后建议你Java服务器开发框架可以用jfinal，实际上手机服务器开发就是做网站，输出的内容一般采用json,可以用httpService的形式，请求和响应，返回json给客户端。

（1）安全性是https的不足，这是因为开始设计的时候没有考虑这个方面的需要；但是你可以使用：https协议，加密的，不会出现泄密问题 （2）登录状态是服务器保存的信息，客户端想服务器发送是很正常的事情；处理方法也很简单，就是生成一个ID，由客户端保存，请求服务时将id一并发送上去（https和http都是这样实现的），至于唯一性和保密性，你可以根据你的业务信息，按照特定的规则来生成，服务器可以在收到id后使用特定的方法验证是不是合法（生成规则当然可以是私密的）； （3）其实使用任何协议都可以满足安全问题，关键是你的数据如何处理，你可以在你的应用客户端中将通信数据加密后生成bcd码发送服务器；加密密码可以采用动态的；也就是根据需要同服务器进行协商自动生成，也可以在验证用户时分配。 在使用C/S方式处理的时候，因为存在客户端，很多功能都可以进行自行控制，很方便了，完全可以自己制定一些通信协议（所谓的协议本质上就是发送、接收和理解通信数据的特定的格式），那就更加保密了。

OAuth2一般不适用公司内部API调用，因为它的主要目的是解决资源授权的问题，而且OAuth2里面角色对于C/S结构的app来说太过于繁杂了，不太有必要折腾。

移动app比较简单的方法还是使用token（一种类似与httpcookie的东西），登录之后得到token，任何请求都必须带上它。因为是内部账户体系，登录也可以直接使用用户名密码，验证成功服务器就返回token，没有必要做各种code/token交换的事情。

不过如果公司资源变得非常独立和分离了，OAuth2还是很有价值的。部门公司，为了让公司内部统一用户名密码，就实现了一个基本的OAuth2流程，负责给各种内网网站授权，确实比较方便。

---