これは、この質問で提起された状況と同様の状況です: Javascript Calling a Rest API with App Name and App Password - How Can i Secure it
アーキテクチャの概要は次のとおりです。
- サイトはHtml5/jquerymobile
- これは、私が「ラッパー」サービスと呼んでいるものに連絡します....これは、別のサードパーティの REST API に連絡するために C# で作成した REST API です。これを行うのは、ヘッダーに資格情報があり、API が基本認証を使用するためです。したがって、資格情報はサーバー側でのみ認識されるため、公開されません。
- 私の「Wrapper」サービスは現在、追加のセキュリティを実装していません。現在、どこからでもアクセスできます。それをロックダウンする最も簡単で迅速な方法は、IP で制限することです。これにより、サーバー以外の他の IP は実際にラッパー サービスに接続できなくなります。
質問: IP によるロックは、別の方法でどこからでもアクセスできる場合に API が攻撃されないようにする唯一の方法ですか?
これを Phonegap を使用して変換すると (これは... Android に正常にデプロイされています)、Web サービスが制限されている場合、明らかにネイティブ アプリは機能しません。
モバイル アプリからのトラフィックのみを許可し、他のソースからのトラフィックは許可しないようにする方法はありますか? MD5ハッシュまたはラッパーAPIに送信できるものに沿って考えています..しかし、残念ながら、情報は簡単に「盗聴」できると考えています。
ここでアプリを Web アプリとしてリリースし、ブラウザーの使用を強制して、Web サービスが打撃を受けることを許可することについての懸念を取り除く唯一の実行可能なオプションはありますか??