0

クライアント(アプリケーション)がAPIプロバイダーを呼び出し、情報を取得または送信するプライベートAPIを作成しています。どのアプリが操作を実行しているかを承認または識別する方法が必要です。そのアプリにアクセスできる場合、ユーザーがチェックインするさまざまな場所で同じアプリが使用され、API呼び出しを行って、別の場所からではなくその場所から情報を取得できますが、 APIキーまたはOAUTHなどの認証メソッドを使用してこれを許可するかどうかはわかりません。

4

1 に答える 1

1

一般に、データを受信して​​いるのがクライアントであることを100%確認する方法はありません。ハッカーはいつでもあなたのプログラムをだます方法を見つけることができます。

それにもかかわらず、あなたが何かをすることができるいくつかの方法があります。最善の方法は、各クライアントが独自のキーを持ち、それを何らかの方法でサーバーに渡して認証することです。そして、これらのキーはどういうわけか安全にサーバーに渡される必要があります。これは起こりそうにありません。このキーは、各クライアントを一意に識別します。いずれかのクライアントが許可を悪用している場合、それらは拒否される可能性があります。

次のステップは、上記のように鍵を作成し、公開鍵を使用して暗号化し、サーバーに送信することです。必要に応じて、承認プロセスを実行することもできます。

クライアントがサーバーにクエリを実行して数値を生成する別のソリューション。次に、ユーザーは以前にログインしたWebサイトにその番号を入力します。番号は適切に複雑である必要があり、誰かがデバイスを乗っ取るリスクを減らすために、数分間のみ有効です。これは、Netflixなどの一方向のアプリケーションに適しています。

全体として、それはあなたのプログラムに対するあなたのニーズが何であるかに依存します。

于 2012-11-24T16:12:30.063 に答える