我有一個cordova
客戶端應用程序,我想限制對我的REST API的訪問權限僅限移動cordova客戶端,以防止瀏覽器和其他不允許的設備訪問我的API。客戶端 - 服務器REST APIs安全
對於客戶端,我應該做javascript
東西(應用程序與cordova
運行),但我不能只設置一個靜態的令牌在我的代碼,並作出$.ajax()
呼叫服務器,因爲用戶可以複製該令牌,所以我需要一種方法來保護令牌和$.ajax()
呼叫。
我該如何繼續?
謝謝
我有一個cordova
客戶端應用程序,我想限制對我的REST API的訪問權限僅限移動cordova客戶端,以防止瀏覽器和其他不允許的設備訪問我的API。客戶端 - 服務器REST APIs安全
對於客戶端,我應該做javascript
東西(應用程序與cordova
運行),但我不能只設置一個靜態的令牌在我的代碼,並作出$.ajax()
呼叫服務器,因爲用戶可以複製該令牌,所以我需要一種方法來保護令牌和$.ajax()
呼叫。
我該如何繼續?
謝謝
您可以將服務器設置爲僅回覆某些用戶代理。它可以是默認的Cordova WebKit用戶代理,也可以在config.xml中爲您的應用程序設置一個定製的用戶代理。查看Cordova documentation中的OverrideUserAgent
。
如果移動客戶端用戶必須進行身份驗證,則可以爲每個用戶分配一個公鑰和私鑰,並使用HMAC簽名進行REST API調用。 – bassxzero
@bassxzero,應用程序中不需要身份驗證。 – Frank