現在、オンライン サービスの API を開発しています。モバイルおよび Web 開発者がアプリケーションを作成するためのアクセスを提供したいと考えています。開発者には、アプリケーションの通常の数の要求/分制限があります。
アプリケーションを認証するためのベスト プラクティスは何ですか?
Web アプリケーションの場合は簡単です。トークンを提供します。トークンはドメインに対して有効であるため、誰かが他の場所で使用しようとしても失敗します。
モバイルアプリケーションでそれを行う方法は? トークンを提供できます。このようなトークンは、デバイス上のアプリケーションと共に配布する必要があり、誰かがそのトークンを盗聴して、同じトークンを使用する別のアプリケーションを作成できることを意味します。これは、元のユーザーが古いトークンを取り消し、新しいトークンを作成し、新しいバージョンをリリースする必要があることを意味します (ユーザーは再度ダウンロードする必要があります)。
そのための解決策を知っていますか?
開発者が、自分のホストと何らかの形で通信し、システム上の何らかの形式のユーザー アカウントを持たずに、これを安全に実行できるかどうかはわかりません。おっしゃる通り、長期間有効なトークンをアプリに含めた場合、どのような難読化を行っても、最終的にはリバース エンジニアリングによって発見される可能性があります。
私が見ることができる2つのオプションがあります:
このスキームでは、モバイル アプリケーションは開発者のシステムに接続して短い認証トークンを受け取ります。登録中およびその後定期的に、開発者は公開鍵と秘密鍵のペアを生成し、公開鍵を提供します。
各認証トークンには、暗号化されていない「開発者キー ID」と、トークンの発行データと疑似ランダム データのソルトを含む暗号化されたデータのビットが含まれている必要があります。開発者のホストは、公開鍵と秘密鍵のペアの秘密鍵を使用してデータを暗号化します。これにより、管理された安全な空間に秘密が保持されます。暗号化されたデータには、開発者のキーに対する既知の平文攻撃を防ぐためにソルトを含める必要があります。
アプリからトークンが送信されます。次の方法で正当性を判断できます。
公開鍵と秘密鍵の暗号化の代わりに対称暗号化を使用することもできますが、その場合、あなたと開発者の両方が秘密を知っています。開発者だけがそれを知っていると、より安全になります。
モバイル アプリケーションは、API への呼び出しについて、ホストではなく開発者のホストと通信することができます。開発ホストが呼び出しの 1 つを受け取ると、単にその呼び出しを API に渡し、シークレット トークンを追加します。