Question

Есть ли способ проверки с помощью вызовов в моем API веб-приложений, полученных из моего распределенного клиента ???

То есть, если у меня есть и толстый клиент (скажем, клиент windows form), и серверное веб-приложение, которое предоставляет интерфейс HTTPS (предположим, что пользователь вводит имя пользователя / пароль в конфигурацию клиента для аутентификации), есть ли способ гарантировать интерфейс веб-приложения используется ТОЛЬКО моим клиентом? То есть не допускайте использования «игры в систему» и разработки собственных сценариев / приложений для использования API (и, следовательно, потенциально злоупотребления службой).

Если я каким-то образом закапываю закрытый ключ в клиент WinForms, чтобы он мог подписывать полезные данные, это может означать, что он может быть декомпилирован пользователем ??? Просто любопытно узнать, возможно ли решить этот вопрос ...

спасибо

Jørn Schou-Rode · Answer 1 · 07 декабря 2009

Вы можете усложнить «игру в систему», но не можете скрыть какие-либо секреты на компьютере вашего клиента.

Как только код «плохого парня» получит прямой доступ к программе, которая выполняет вызовы веб-службы, он сможет разобрать ее или другими способами реконструировать ее, чтобы получить секрет совершать аутентифицированные звонки в сервис.

Есть ли способ проверить с помощью вызовов в моем API веб-приложения, полученных от моего распределенного клиента?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Есть ли способ проверить с помощью вызовов в моем API веб-приложения, полученных от моего распределенного клиента?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы