我想问一下Web应用程序的安全性。
我正在网站上开发基于Web服务的库存管理系统。 并使用webview包装为Android应用程序。
但我的客户要求该网站只能在Android应用程序中打开。
我认为当Web服务器响应请求时,可以使用代理标头。 但它只是一个临时搭建。
那么有没有办法检查网站是否在浏览器未经授权的应用程序中打开?
我使用spring boot for web server。
答案 0 :(得分:1)
这是不可能的。一旦公开公开端点,您总是可以尝试使用支持该协议的任何软件(或将对协议进行反向工程的分析器)连接到该端点。
这就是说,你可以通过模糊处理使其变得困难。
一种解决方案是使用客户提供的信息(在您的案例中为浏览器)。这通常是代理标题(如您所述),但也可以是一些指纹识别。例如,您可以检测屏幕的大小并从那里做出一些决定。
另一种解决方案是使用一些秘密(更好地称之为"秘密")来显示某些特定代码正在调用的后端应用程序(或API)。我可以想象你可以在应用程序中捆绑HTML / JS / CSS代码以及密钥,这样只有应用程序所有者才能发送可识别的流量(由被支持者识别)。
所有这些或多或少都难以破解,但是通过某些层次,您将至少摆脱一些想要通过其他方式访问该网站的人群。