我正在为我的网络应用和iPhone应用使用公共API。我的应用程序将基本的CRUD操作执行到数据库中。
由于API的客户端密钥是在HTTP请求标头中发送的,恶意用户很容易转储最初传递给请求的密钥和篡改数据(例如,使用Tamper Data Firefox插件)
所以这是我的简单问题:受到保护的最佳做法是什么? 如何在将数据发送到数据库之前以编程方式检测不同的作弊案例?
答案 0 :(得分:5)
SSL无法达到目的。 HTTP / HTTPS请求在发送到服务器之前可能会被篡改。最好的方法是在生成HTTP请求之前加密数据。
答案 1 :(得分:0)
在HTTPS而不是HTTP中投放您的网络服务会阻止任何人在线上嗅探您的密钥。