Защищенный веб-сервис (WCF) без сохранения учетных данных в потребительском приложении - PullRequest
Новая
       13

Защищенный веб-сервис (WCF) без сохранения учетных данных в потребительском приложении

1 голос
/ 25 марта 2010

У меня есть клиент, который продает приложение для анализа лотереи. В этом приложении он использует веб-сервис (я имею в виду, что он принадлежит компании, в которой я сейчас работаю) для получения статистических данных о результатах лотереи, сделанных ставках, суммах и т. Д. Со всего мира. Доступ к этому веб-сервису платный, и каждая консультация стоит X кредитов.

Некоторые люди разобрали это лотерейное приложение и обнаружили ключ api / ключ авторизации, используемый для доступа к платному веб-сервису, и начали его использовать.

Я бы хотел, чтобы это не повторилось, но я не могу найти способ аутентификации на веб-сервисе без сохранения аутентификации. ключи на приложении. У кого-нибудь есть идеи по выполнению такой задачи?

ps1.Не просим пользователей вводить какие-либо учетные данные. Должно быть прозрачным для них (они не должны знать, что происходит).

ps2. Невозможно использовать цифровые сертификаты по той же причине, что и выше, не говоря уже о том, что их легко получить, и мы столкнемся с первоначальной проблемой.

Заранее спасибо.

Ответы [ 2 ]

1 голос
/ 25 марта 2010

Вкратце, вы не можете сделать это эффективно. Вы столкнулись с той же проблемой, что и компания, выпускающая видеоигры.

Вы можете использовать некоторую форму «обфускации кода», но это форма защиты от неясности, и вы не можете гарантировать эффективность этого.

Вы можете уменьшить воздействие, используя разные ключи для каждого клиента, и на стороне сервера убедиться, что ключ не может использоваться другим клиентом одновременно. Это в основном то, что индустрия видеоигр имеет реальную выгоду.

0 голосов
/ 25 марта 2010

Это не может быть сделано.

Вы должны либо встраивать учетные данные в приложение (жестко запрограммированные или как угодно), либо предлагать пользователю ввести их.

Блокировка веб-служб в одном приложении также неэффективна, поскольку ее легко обнаружить и обойти, как встраивание учетных данных.

Поскольку вы не можете управлять клиентами или средой (ограничить доступ по IP, домену и т. Д.), ИМХО, вы довольно испорчены: (

Добро пожаловать на сайт PullRequest, где вы можете задавать вопросы и получать ответы от других членов сообщества.

Нет похожих вопросов

...