知道我们的应用程序或第三方应用程序是否调用了API?

时间:2015-08-17 12:32:13

标签: android web-services

如何确保我们的应用本身而不是第三方应用调用API。如果我们使用应用程序密钥,人们可以对我们的应用程序进行逆向工程并获取应那么如何确保没有其他人在使用API​​?

2 个答案:

答案 0 :(得分:1)

在这种情况下,没有什么是100%安全的,但您可以尽力将密钥保存在您的应用内。用一些盐加密密钥以从服务器请求会话令牌(使其有效时间依赖)并使用xcsrf令牌。每次都进行潜在登录。

使用ProGuard对代码进行模糊处理。 有些人建议使用DexGuard(虽然我没有使用过它)。这延迟了逆向工程。

答案 1 :(得分:0)

如果是用户信息,请在api流中添加用户身份验证。除此之外,我能想到的最好的方法是让每个用户都给你他们的电子邮件地址,并在那里发送链接,以便他们可以在你的网站上进行验证。然后,您的API只能为经过验证的用户提供完全访问权限。