データベースにクエリを実行し、XML形式で情報をアプリケーションに返すPHPファイルがあります。今のところ、ブラウザでURLにアクセスし、URLに適切なパラメータを入力すると、情報が正しく表示されます。アプリケーション(iOSおよびAndroid)からのみPHPページにアクセスできるようにする方法はありますか?私が検索したところ、インクルードを介してのみページにアクセスできるようにすることしかわかりませんが、ファイルが含まれているphpページを誰かが見つけた場合、これによってアクセスがどのように制限されるかわかりません。任意の提案をいただければ幸いです。
ありがとう
あなたがそれに課すほとんどすべての制限は、本質的に「アプリケーションだけが送信するリクエストに何かを入れる」ということになります。
基本的なアプローチは「URLを秘密にしておく」です。アプリケーションだけがそれを知っている場合、アプリケーションだけがそれを要求できます。それ以外のもの(パスワード、APIキー、カスタムHTTPヘッダー、ユーザーエージェントスニッフィングなど)は、同じ概念の周りの複雑さです。
HTTPではなくHTTPSを介してリクエストを行うと、スニッフィングにさらされることからシークレットが保護されます。
ただし、逆コンパイルからあなたを救うことはできません。
チャレンジコードを使用して、アプリ内のクライアントリクエストにカスタムhttpヘッダーを追加できます。スクリプトはヘッダーを検出し、チャレンジを検証します。検証に合格した場合はスクリプトを実行し、合格しなかった場合は403Forbiddenを返します。
むしろそうではありません。実際、誰もが自分のブラウザ情報に誤ったデータを挿入する可能性があり、これがWindows95のMicrosoftInternetExplorerなのかAndroid電話のChromeなのかはわかりません。
IP番号でブロックしようとするかもしれませんが、これはアプリケーションをブロックしているのではなく、ユーザーをブロックしています。
私が持っている唯一のアイデアは、ユーザー/パスワードのログイン機能を使用することです。これは、アプリケーションだけが知っているものですが、独自のセキュリティホール(中間者攻撃など)があります。