現在、モバイル ゲームのユーザー認証 API を作成しています。ユーザーがモバイルアプリからのみシステムにアクセスできるようにしたいと思います。(つまり、正確な POST パラメーターが有効であっても、サーバー API がブラウザーまたは CURL (非許可システム) からアクセスされた場合、サーバーはアクセスを拒否する必要があります)。理想的には、システムがリプレイ攻撃も許可しないようにする必要があります。
これを行う方法のアイデアや例はありますか?
現在のタイムスタンプを使用してユーザーごとに一意のソルトを追加し、クライアント アプリの秘密キーを使用してパラメーターを SHA256 処理し、サーバーで検証することを考えています。この方法により、攻撃者は SHA256 ハッシュを計算するために秘密鍵を取得する必要があるため、ブラウザーまたは CURL からのアクセスを防ぐことができます。ソルト (タイムスタンプを含む) もパラメーターの 1 つとして送信され、サーバーはタイムスタンプを取得し、特定の時間を過ぎている場合はアクセスを拒否します。しかし、私はセキュリティで保護されたアプリを設計したり、以前にそのソースコードを見たりしたことがないため、セキュリティと、それが一般的または正しい慣行であるかどうかについてはよくわかりません.
ご意見ありがとうございます。