我们有一个android和ios应用程序,它使用http webservice将数据和命令发送到服务器。我如何防止假冒客户端也可以向服务器发送内容的可能性?如果数据/命令确实来自我们的应用程序,我如何确定服务器。
答案 0 :(得分:9)
你真的无法阻止它。有几种技术可以让人们更难以滥用你的服务。
一个简单的检查可以检查调用您的Web服务的用户代理。另一个非常常见的方法是在您的网络服务器上通过用户/密码验证使用简单的身份验证。用户名和密码将嵌入到您的应用中。
如果你有足够的时间,你应该考虑使用这两种方法的组合加上嵌入式ssl证书的身份验证。您只需将此添加到您的项目中,如果有人真的想滥用您的服务,他必须至少从您的应用程序中提取此证书。
还有一些其他有用的技术,但你无法防止逆向工程或网络嗅探。
此致 fuxx
答案 1 :(得分:3)
最强大的解决方案是不要尝试。像DasFuxx的回答建议的技术可以使它变得更加困难,但有人总是可以反编译您的应用程序并获得嵌入其中的任何秘密。
相反,请遵循多人游戏开发规则:
不要相信客户。
不要将您的应用程序视为用户界面。将您的网络协议/ API 视为用户界面;然后设计那个接口,这样它就不会被滥用。
完全可能无法做到这一点,但只要你成功,你就拥有真正的安全感(而不是像DRM系统那样打败同样的战斗)。
答案 2 :(得分:2)
我会实施oAuth。有关如何实施此类解决方案的更多信息,请参阅the following link。
答案 3 :(得分:1)
你做不到。就这么简单......