У меня есть приложение для iOS, которое обменивается данными через https с сервером.
Можно ли аутентифицировать приложение, чтобы сервер отвечал только на запросы этого приложения? Другими словами, он не будет отвечать на запросы http из браузера / curl / другого приложения / etc?
Я не заинтересован в аутентификации пользователя - просто уверен, что только мое приложение может общаться с сервером.
То, что я рассмотрел:
- Общий секрет на сервере и в приложении. Но любой может заглянуть внутрь пакета приложения, чтобы извлечь секрет.
-Использование push-уведомлений. Приложение связывается с сервером и сообщает серверу токен push-уведомлений. Сервер отправляет push-уведомление, которое достигает приложения. Ничто иное не может получить уведомление, поэтому вставьте в него общий секрет, который приложение сможет использовать с этого момента. Но push-уведомления могут быть доставлены с опозданием или не доставлены вовсе. И многие пользователи не хотят их включать.
Очевидно, что Apple аутентифицирует устройства, чтобы знать, куда отправлять push-уведомления. Но есть ли способ подключиться к этому?