我有一个依赖Windows Azure App Services后端的移动应用程序。我想绑定一些安全漏洞。例如,某人当前可以访问我的所有记录,修改或删除它们。不理想......
我只希望用户能够访问他们自己的记录(数据隐私),我想确保只有我的应用程序可以将数据POST到服务器,即一个非正式的可能已损坏的应用程序不应该能够POST数据并破坏我的数据库。也许某种TLS等方法可能会这样做?这种限制(如果可能)可能允许我在移动应用程序中实现仅限访问记录的逻辑而不是后端?
我怎样才能确保我的应用的合法版本只能与我的后端进行互动?
答案 0 :(得分:2)
Azure移动应用程序(可以部署到Azure应用服务的标准Node / Express或ASP.NET应用程序之上的SDK)提供了一种机制,您的Web或移动应用程序可以访问SQL数据库中的记录。用户ID与POST上的记录一起存储,用户ID在返回记录时也用作查询的一部分。
请参阅https://shellmonger.com/30-days-of-azure-mobile-apps-the-table-of-contents/ - 特别是第6天(针对Node / Express)和18(针对ASP.NET)
至于你的上一个问题 - 如何确保只有合法版本的应用可以与你的后端互动 - 你做不到。平凡的是,您可能会考虑使用需要在其他身份验证要求中添加的共享密钥。但是,这并不能阻止某人嗅探电线并使用相同的共享密钥。在没有使用经过批准的应用程序的情况下,您几乎无法阻止确定的玩家访问您的后端。