如何確定HTTP API請求是否來自iPad的

Question

來到我們正在開發的iPad應用程序的HTTP API，我們正在考慮的只允許通過從一個iPad來了一個HTTP請求訪問的API。

我沒有想到的東西，如用戶代理，因爲這很容易被僞造，而更像是某種認證方案，與App Store的紐帶？也許在App Store簽署了某種私人密鑰的每個應用程序，然後你還可以插入簽名的請求查詢參數或頭和服務器端檢查簽名是否來自合法的iPad。

是這樣的可能，甚至是一個好主意？

Answer 1

如果你同時控制iPad應用程序和服務器應用程序，你應該能夠使用PKI來驗證請求來自合法的應用程序來。將公鑰嵌入到應用程序本身中，使用它來加密放入標題字段的值，然後使用服務器上的私鑰解密並驗證接收到的標題值。