我們正在構建一個移動應用程序,並希望實施某種身份驗證,以確保API僅被我們的應用程序訪問。該應用程序的用戶是匿名的,沒有登錄,但我確實通過設備ID標識它們以維護設置等。如何確保API請求來自我們的移動(iOS/Android)應用程序?
最簡單的方法似乎是生成Guid/API密鑰,我通過SSL發送每個請求。
讓我擔心的是有很多空閒時間的惡意人會下載應用程序,反編譯它以獲取API密鑰和JSON請求,然後儘可能地垃圾我的數據庫。
SSL,一個API密鑰,一個設備ID和一個儘可能限制as-constrained-as-possible調用的API足夠好嗎?我應該採取不同的方法嗎?我的恐懼是成立的還是毫無根據的?
我不明白這是如何使任何更安全。脆弱點只在你的情況下有所不同:註冊服務。我可以攻擊,我也有完整的訪問權限。我認爲對於Android來說,至少也許可以這樣做:http://android-developers.blogspot.de/2013/01/verifying-back-end-calls-from-android.html – therealmarv 2016-08-10 10:09:33
你會如何攻擊註冊服務獲得完全訪問權限? – 2016-08-10 14:56:16