В настоящее время у меня есть приложение для iOS, которое позволяет людям отправлять контент на наш сервер (как в Twitter).У нас нет системы входа в систему, вместо этого мы используем UDID устройства для уникальной идентификации пользователей (да, мы знаем, что это не идеально, но стоит того, чтобы пользователи не создавали учетную запись).
Запросы из приложения iOS отправляются в виде POST-запросов на наш сервер и никоим образом не аутентифицируются.
В настоящее время мы наблюдаем большое количество спама (очевидно) и ищем простой способ убедиться, чтолюбой запрос, попавший на наш сервер, на самом деле исходил от нашего приложения, а не от сценария, который написал спамер.
Мы попытались использовать строку агента пользователя, которая содержит имя приложения, но легко подделывается.Есть ли способ проверить, что запросы, попадающие на наш сервер, поступают из нашего приложения?
Одна идея может заключаться в том, чтобы включить случайное число в качестве параметра, а затем зашифровать это число с помощью некоторого закрытого ключа.Попросите сервер проверить, что зашифрованная версия соответствует текстовой версии.(закрытый ключ должен быть на нашем сервере, а также встроен в приложение).
Я не ищу идеального решения - 90% -ное решение, которое легко внедрить, является предпочтительным.
Спасибо!