我有一个iPhone应用程序可以直接将图像上传到S3。然后它命中我的Web服务器上的端点,并创建一个包含一些元数据的新帖子,以及上传图像的S3 URL。所有这些都发生在SSL上,但是什么阻止某人对端点进行逆向工程以创建帖子并提供伪造的URL?
答案 0 :(得分:1)
不,我们无法确保只有您的应用可以与您的服务器联系,但您可以为您的应用提供某种签名,该签名会在真正的通信发生之前通过HTTPS发布到您的服务器。
我认为一般来看一下API认证是一个好主意。这似乎是一个开始:Principles for Standardized REST Authentication