所有未经授权的用户都应该可以公开访问给定的服务器API,但只允许来自一个特定应用的请求。
理论上,这应该通过使用应用HMAC-sign all API requests并让服务器正确发布并存储nonces(以避免重放攻击)来实现。
问题::
移动应用程序是否有任何已知的方法可以对黑客和破解者检索密钥进行切片,切块,切碎和异或,这使得黑客和破解者很难(如果不是不可能)检索密钥?
答案 0 :(得分:3)
使用iTunes连接创建免费的应用内购买并让用户“购买”它(即使他们不会收取任何费用)...然后用您的服务器验证收据... Apple将提供交易收据这将验证它来自您的应用程序。
https://developer.apple.com/library/ios/#releasenotes/StoreKit/IAP_ReceiptValidation/