我们正在为iPad应用开发HTTP API,我们只考虑允许通过来自iPad的HTTP请求访问API。
我不是在考虑用户代理之类的东西,因为这很容易伪造,但更像是某种与App Store相关的身份验证方案?也许App Store使用某种私钥对每个应用程序进行签名,然后您可以在请求中将该签名作为查询参数或标题插入,并在服务器端检查签名是否来自合法的iPad。
这样的事情是可能的,甚至是个好主意吗?
答案 0 :(得分:1)
如果您同时控制iPad应用程序和服务器应用程序,则应该能够使用PKI验证请求来自合法应用程序。将公钥嵌入应用程序本身,使用它来加密放在标头字段中的值,然后使用服务器上的私钥解密并验证收到的标头值。