我有一个后端服务器,并希望提供一个SDK来连接到该后端服务器。 sdk将为iOS和Android构建,并将作为独立于这些平台的库提供。
问题是我想确保仅使用我提供的sdk发送请求。基本上每个人都知道可以使用Fiddler或Charles代理等代理应用程序来监控WEB请求。并且可以篡改请求并手动发送这些请求多次。
对于我的场景应该是不可能的。所以我需要一种方法来在后端识别出我收到的请求肯定是从我的sdk发送的。我怎样才能做到这一点?
EDIT1: 我猜可以使用像digipasses这样的东西。例如,当我登录我的银行帐户时,我会得到一次密码并登录。但这是基于时间的,我不能指望设备的时间。也许我们可以重用这个概念。
感谢您的回答!