Как определить, поступил ли запрос HTTP API с iPad

Question

Мы разрабатываем HTTP API для приложения для iPad, и мы думаем о том, чтобы разрешить доступ к API только через HTTP-запрос, исходящий от iPad.

Я не думаю очто-то вроде User-Agent, потому что это легко подделать, но больше похоже на какую-то схему аутентификации, которая связана с App Store?Возможно, App Store подписывает каждое приложение каким-то закрытым ключом, а затем вы можете вставить эту подпись в качестве параметра или заголовка запроса в запрос и проверить на стороне сервера, является ли подпись подлинным iPad.

Возможно ли что-то подобное или даже хорошая идея?

Answer 1

Если вы контролируете и приложение для iPad, и приложение для сервера, вы должны иметь возможность использовать PKI для проверки того, что запрос поступил из законного приложения.Вставьте открытый ключ в само приложение, используйте его для шифрования значения, введенного в поле заголовка, а затем используйте закрытый ключ на сервере для расшифровки и проверки полученного значения заголовка.