Как защитить свой API от взлома и сделать его приватным, чтобы никто не мог получить к нему доступ, кроме приложения для Android?

Question

Я написал свой собственный API и хочу загрузить его на сервер, но я хочу защитить его, чтобы никто не мог получить к нему доступ, кроме как из моего приложения, я пробовал библиотеку slim-basic-auth, но она не работала,Я не знаю, почему ... пожалуйста, помогите?

$app->add(new Tuupola\Middleware\HttpBasicAuthentication([
        "secure"=>false,
        "users" => [
                "userher@#" => "passhere#@"        ]
        ]));

Answer 1

Я думаю, что вы никогда не сможете скрыть URL-адрес API, вызываемый приложением (злоумышленник с корневым устройством Android может легко перехватить трафик). Если ваш пользовательский API-ответ отвечает на данные пользователя, вы можете добавить в запрос заголовок auth ипроверьте этот заголовок на сервере. Вы также можете использовать Cross-Origin Resource Sharing-CORS и SSL для дополнительного уровня безопасности.

Answer 2

Вам нужно добавить переменную из клиентского приложения, передаваемую в серверное приложение. Например, APP_KEY или CLIENT_ID, который позволяет вашему приложению подключаться к серверу. Вы можете добавить шифрование, чтобы ваше серверное приложение могло только расшифровать его и идентифицировать запрос, исходящий от вашего клиентского приложения.

Если ваше приложение является веб-приложением и размещено на другом сервере, вы можете внедрить белый список IP-адресов на своем сервере. .

Но если ваше приложение для мобильных устройств, вам нужно передать как секретный ключ с мобильного телефона на ваш сервер.

С уважением,