目标:我正在创建一个需要访问AWS服务器的移动应用,我想确保只有我的应用可以访问服务器。
CONSTRAINTS :我从不希望用户必须登录该应用。如果我的研究是正确的,我相信这会消除使用令牌(例如JWT)。我认为这消除了令牌的使用,因为我无法在用户的应用程序中刷新令牌。
提议的解决方案:使用移动应用中的bcrypt加密应用中的密钥(字符串)(假设字符串为"允许")。使用HTTPS POST请求使用加密密钥访问我的服务器"允许"嵌入体内。在我的服务器逻辑中,我将读取HTTPS POST主体的内容,解密字符串,并允许在服务器中完成进一步的逻辑,如果解密的字符串="允许"。
问题我提出的解决方案是否有意义?如果没有,我可以获得我应该做的指导吗?
我相信这是可能的,因为我读了here HTTPS POST的主体是加密的。因此,我认为将bcrypt加密密钥放在正文中应该是我服务器的额外安全层。
答案 0 :(得分:0)
这适用于API吗?而不是将键值添加到POST正文,而是将其添加到标头值。它将通过https加密。如果您的移动应用程序仅使用它,那么您甚至可以使用“User-Agent”标题。
无论你选择哪种标题,你都会像在你提到的那样在服务器上评估它。
然而,请注意有人可以弄清楚它是如何工作的。它只会阻止大多数人试图弄明白。
我不相信bcrypt键。如果您使用https,它将被加密。