标签: web-services security mobile-application
我构建的解决方案将涉及通用的后端Web服务和许多不同的移动应用程序(针对不同的客户端)。每个应用程序都应该收到一些不同的配置信息,因此在某些时候,应用程序需要调用Web服务并确定它是什么类型的应用程序。
例如,如果我嵌入了各种令牌,攻击者可以反编译并获取此令牌,然后代表其他应用程序调用API。我怎样才能确保此身份不会被盗?我需要一种方法来自信地确定一个应用程序是它所说的那个。
值得注意的是,某些业务要求规定某些应用不需要用户注册,因此在所有情况下都无法通过用户登录来保护此功能。