无需用户身份验证即可保护Web服务端点

时间:2016-05-09 14:12:02

标签: web-services rest security mobile

我的情景很简单,也许不仅仅是我处理。我有一个web服务,用于我的许多移动应用程序。我希望我的网络服务只能从我的移动应用程序访问,但我不希望我的应用程序的用户在注册帐户时感到困扰。我怎样才能实现这种安全性?

我已经阅读了有关API KEY和OTP的内容,但它并没有真正说服我。

1 个答案:

答案 0 :(得分:1)

不可能100%做你想做的事。原因是,如果安全性在您的移动应用程序中,或通过互联网传播,理论上可以让某人阅读您的代码或扫描您的流量,然后冒充您的移动应用程序。

但是,通过简单的服务器端检查,您可以获得良好的结果。 EG,从您的移动应用程序中,将一个变量添加到HTTP调用中,由后端检查。而且,最重要的是,使用SSL。您也可以使其更加复杂,例如从服务器提供令牌,然后在每次调用时都需要此令牌。

它不会牢不可破......但它会阻止随意的黑客。它可能只需要10分钟就可以完成。