この Web アプリを作成し、この API を作成しました。この例のために、単純にしておきましょう。
私のアプリは、ユーザーが持っている「クレジット」の数を知る必要があります。API には { credits: 1000 } を返す呼び出し get_credits があります。
さて、誰かがホストファイル (または他の方法) を使用して { クレジット: 2000 } を返す独自の API を作成するのを防ぐにはどうすればよいでしょうか。
なんらかのハッシュを入れようと思っていたのですが、javascriptなのでソースから簡単にハッシュが抽出できてしまいます。握手会も同じだと思います。
では、API を十分に安全にするにはどうすればよいでしょうか?
本当に安全なアプリを作成するには、別の方法で行う必要があります。おそらくユーザーまたはハッカーがコードを変更する可能性があるため、エンドユーザーはアプリを信頼しないでください。
そのため、すべての購入などをサーバーに保存することをお勧めします。私は今あなたのシステムについてあまり詳しくないので、あまりあなたを助けることはできません.
すべてのアイテムに対してサーバーによってハッシュが生成され、このハッシュにより、ユーザーが実際にアイテムを購入したことを他のユーザーに表示できるようになるとよいでしょう。
このハッシュは長く強力でユニークでなければならないことに注意してください。
私と私の答えがあなたを助けることができることを理解していただければ幸いです;-)
私のシステムがどのように機能するかを説明します。ゲーム中にクレジットを取得するには、ajax リクエストを作成して読み込みます。ajax リクエストは、"echo $credits;" がある単純な php ページを呼び出します。したがって、ハッキングは不可能です。誰かがクライアント側のクレジットを変更した場合、彼らがギフトをリクエストしたときに、サーバー側のクレジットが合法であることを確認するためにphpでチェックします:P - システムがmysqlインジェクション攻撃に対して脆弱であるかどうかを確認してください。クレジットシステムをハックしてください:D
それがクライアント側である場合、できることはあまりありません - 最善の努力をしてください。ただし、ポストバックで返信を検証する必要があります。ユーザーを信用しないでください:-)