想象一下,您正在编写一个WebApp,它只会显示虚拟客户卡,客户可以通过该卡在您的商店中识别自己。客户必须无法将其客户卡复制给朋友和家人,因此QR /条形码必须是动态的。通常的做法是定期从服务器传输新种子,然后WebApp会根据时间生成OTP。
问题是算法是在本地执行的,而WebApp的种子不在智能手机的受保护区域。然后,用户可以传递种子,例如,有人使用FakeApp可以在接下来的X分钟内生成假卡,如果他们没有联网(双重支出),则可以在另一家商店使用客户福利。
因此,最安全的做法是在短时间内从服务器发送OTP,并且不会在本地生成任何内容。但问题是,只要互联网连接中断,WebApp就不再起作用,而且在厚墙的商店中经常出现这种情况。
这个问题有解决方法吗?
答案 0 :(得分:0)
将webapp解释为移动应用,您可以通过软件认证解决此问题。软件证明是一个过程,其中运行的实际代码是指纹识别的,然后您可以验证您看到的签名是否是您期望的签名。