У меня есть требование защитить мои ресурсы JAX-RS и принимать заявки только от авторизованных мобильных приложений. Это возможно? Как это может быть сделано?Ограничение трафика на сервер только из моего мобильного приложения
Все мои ресурсы защищены уже с пользовательской аутентификацией, целью здесь является сокращение попыток лова идентификатора пользователя. Я знаю, что одним из решений было бы сохранить ошибку ответа с недопустимым идентификатором пользователя, но приложение очень велико, и на данный момент это невозможно.
Идея, которую я придумал, - использовать токены JWT, подписанные с общим секретом. Затем я мог бы добавить на сервер фильтр авторизации, чтобы проверить подпись. Если он не проверяет, отмените запрос. Это похоже на жизнеспособный вариант?
Я беспокоюсь о безопасности общего секретного устройства на мобильном устройстве, может ли он быть скомпрометирован с помощью внедренного устройства?
Это аналогичный вопрос с некоторыми идеями: http://stackoverflow.com/q/28609526/2889165 –