Обеспечить эксклюзивный доступ к веб-сервису

Question

Просто чтобы быть в безопасности, какова лучшая практика, чтобы гарантировать, что только мое приложение имеет доступ к моему веб-сервису, который размещен на публичном сервере? Должен ли я реализовать я поделился ключом или что-то?

Мой веб-сервис размещен на Googles App Engine, а мое приложение работает на iPhone и iPad.

Если вам нужна дополнительная информация, просто спросите.

Спасибо, Хенрик

Answer 1

Если вам требуется, чтобы пользователи приложения iphone вводили логин / пароль, то добиться того, чего вы хотите, тривиально. Но я полагаю, вы этого не хотите ..

Без этого, невозможно гарантировать, что ваше приложение имеет эксклюзивный доступ к вашим веб-сервисам. Люди всегда могут прослушивать HTTP-трафик и подделывать его. Люди могут декомпилировать / перепроектировать ваше приложение, чтобы выяснить ключ / пароль.

См. Другие обсуждения StackOverflow - Как ограничить доступ к моему веб-сервису? и Как я могу создавать и использовать веб-сервис публично, но при этом ограничить его использование только моим приложением?

Answer 2

Лучше всего подойдет проверка подлинности по запросу / ответу, но вы можете использовать что-то такое же простое, как ключ, который отправляется с каждым запросом. хотя для кого-то, использующего анализатор пакетов, может быть довольно просто перепроектировать эту защиту - я думаю, количество времени, которое вы потратите на нее, будет зависеть от того, насколько вы на самом деле заботитесь:)

Answer 3

Ну, у меня была похожая проблема.Что я понял, там нет 100% решения.То, что я сделал, я использовал другой подход.Конечно, я реализовал OAuth и SSL, а затем создал алгоритм для своего веб-сервиса, чтобы узнать поведение моего приложения.Я пытаюсь поместить этот алгоритм в какой-то шаблон, шаблон, чтобы его можно было использовать в других сценариях.Он все еще находится в разработке, поэтому вот код простого консольного приложения, которое будет имитировать этот алгоритм.Надеюсь, что это может помочь: https://github.com/vjeftovic/LearningRESTSimulation

Answer 4

Вы можете запрограммировать ваше приложение для обслуживания только тех запросов, которые включают в себя уникальный идентификатор iPhone - см. Вопрос StackOverflow [ Уникальный идентификатор для приложения iPhone ]. Идентификатор еще можно прослушать, поэтому, в зависимости от ваших потребностей, вам могут понадобиться методы для противодействия этому.