我想用Tapestry5和这个http://code.google.com/p/t5-restful-webservices/插件为我的Android应用程序创建一个后端。 该应用程序将通过调用REST方法与服务器进行通信,这些方法既适用于注册用户(我认为这很容易安全),也适用于未注册的用户。 现在我当然不希望人们只是从浏览器中调用该Web服务。
如何确保只有我的应用可以拨打此后端?
答案 0 :(得分:1)
检查用户UA可以帮助......
答案 1 :(得分:1)
我可以想到两种方法:
使用SSL保护连接。 SSL可以进行握手检查凭据。 要对用户进行身份验证,您可以使用证书或PSK。
或者您可以简单地创建数据的哈希(SHA或MD5)并包含密钥。这叫做hmac。逆向工程师可能会得到密钥,因为您必须在代码中对其进行硬编码。