我正在尝试保护我使用PhoneGap构建的iOS和Android应用程序。如果有人碰巧打破了应用程序并访问了JS文件中的Web服务URL,我不希望Web服务在从浏览器或我的其他应用程序中调用时进行响应。
我能想到的方法是 - 1.使用用户代理检查请求的来源。 - 它需要来自设备(但用户代理可以被充实) 2.将BundleID和Bundle Name发送到WS进行身份验证。但我担心的是如果应用程序坏了可以访问这些信息吗? 3.请推荐是否有其他方法可以保护正在使用的Web服务,除了打算使用它之外。
此致 CM
答案 0 :(得分:0)
如果您担心安全问题,请使用HTTPS。
其他任何东西都可以从计算机上轻易搞制。
答案 1 :(得分:0)
可以从iOS应用程序中轻松提取捆绑包ID。 iOS .ipa只是一个包含.app的zip文件。可以在Info.plist文件中找到捆绑包ID,以及可以使用codesign工具读取的代码签名权利。
您无法真正保护您的网络服务不被非应用代码使用。您可以在应用程序中嵌入某种私钥并在服务器上进行验证,但始终可以提取密钥。这取决于你和潜在的攻击者愿意花多少时间来解决这个问题。