我們使用jQuery Mobile和Phonegap生成iOS應用程序,該應用程序將顯示在兩個商店中。應用程序將使用Javascript和典型的ajax/JSONP調用從遠程服務器獲取數據。如何驗證它只是我們的phonegap應用程序訪問我們的服務器端API?
我們希望以某種方式驗證與我們的後端應用程序。通常情況下,您可以限制從特定域訪問遠程API,但我們不能這樣做,因爲這些文件將存儲在本地並使用file://協議,這就是爲什麼我們使用JSONP來避免相同的原始策略問題。
我們打算用passphrase + timestamp + deviceID產生一個認證字符串,加密它然後做同樣的事情服務器端。我們很快意識到人們可以很容易地訪問我們的JavaScript文件,而且從目前爲止閱讀的內容來看,JavaScript混淆並不是100%安全的。
關於如何限制API訪問權限的任何想法只是爲了應用程序,還是隻是盡我們所能,讓我們的API公開?
謝謝。