当我们构建网站时,通过HTTP请求在应用服务器上访问我们的API。我们可以限制调用API访问的客户端的域名。现在,如果我们构建移动应用程序,我们如何识别应用程序是否已获得授权?我们无法获得任何用户代理。有什么方法可以检查吗?
在服务器上,我们使用ASP.Net构建。
答案 0 :(得分:0)
我们可以限制调用API访问的客户端的域名。
检查来电者的IP /域可能是身份验证/授权的一个因素,但在我看来,它不应该是唯一因素。这些证据可以伪造,而且也不是很细致:你不确切地知道用户是谁,只是他们(可能)来自哪里。
现在,如果我们构建移动应用程序,我们如何识别应用程序 授权?
使用适合业务需要的适当身份验证/授权机制。如果应用程序与特定用户的数据相关,则需要通过SSL将用户名和密码传递给API。更好的是,熟悉OpenAuth。