3

特定のサーバー API は、許可されていないすべてのユーザーがパブリックにアクセスできるようにする必要がありますが、リクエストは 1 つの特定のアプリからのみ発信できるようにする必要があります。

理論的には、これはアプリを用意しHMAC-sign all API requests、サーバーに正しく発行して保存させることで実現する必要がありますnonces(リプレイ攻撃を回避するため)。

質問::

ハッカーやクラッカーがキーを取得することを、不可能ではないにしても非常に困難にする方法で、モバイル アプリがシークレットをスライス、ダイス、チョップ、および XOR する既知の方法はありますか?

4

1 に答える 1

3

iTunes Connect を使用して無料のアプリ内購入を作成し、ユーザーにそれを「購入」してもらいます (料金は発生しませんが)...次に、サーバーで領収書を確認します...Apple は、確認する取引領収書を提供しますあなたのアプリから発信されたものであること。

https://developer.apple.com/library/ios/#releasenotes/StoreKit/IAP_ReceiptValidation/

于 2013-02-21T15:51:19.513 に答える