1
這是一種類似情況的人在這個問題提出使用安全的方式: Javascript Calling a Rest API with App Name and App Password - How Can i Secure it聯繫REST API與HTML 5/JavaScript的
這裏是架構概述:
- 該網站是HTML5/jquerymobile
- 它接觸我所說的「包裝」服務....這是一個REST API我在C#中寫道,聯繫其他第三方REST API。我這樣做是因爲頭部中有證書,並且API使用基本身份驗證。因此,憑證只是已知的服務器端,因此不公開。
- 我的「包裝」服務目前不實施任何額外的安全性。它目前可以從任何地方訪問。鎖定它的最簡單和最快捷的方式是通過IP進行限制,因此除了服務器之外,其他任何IP都不能實際聯繫我的包裝服務。
問題: IP的鎖定是否確保API不會受到攻擊?
如果我這個轉換使用PhoneGap的(我已經...併成功部署在Android),顯然是本機應用程序不會如果Web服務被限制使用。
有沒有解決這個問題的方法,以便我只允許來自移動應用的流量,而不是來自任何其他來源?我正在考慮沿着MD5哈希線或可以發送到包裝API的東西..但不幸的是,我認爲,信息可以很容易地被「嗅探」。
是我唯一可行的選擇在這裏發佈應用程序的Web應用程序,迫使瀏覽器使用,從而消除了有關允許我的web服務,以敲定任何問題?