Я работаю над REST API, который будет использоваться мобильным приложением, которое я пишу, в основном для связи с базой данных.Как защитить частный API
Мобильное приложение делает вызовы URL, как это:
example.com/mobileapi/getinfo
И несет определенную полезную нагрузку POST вместе с каждым вызовом.
Я не беспокоюсь об аутентификации пользователя и т.д.
Однако то, что я беспокоюсь о том, что если кто-то использовать мобильное приложение вместе с инструментом мониторинга сети, как Скрипач или Wireshark, они могут документировать все вызываемые URL-адреса, а также все параметры POST. Это будет достаточно информации для создания собственного приложения, которое использует мой API.
Как я могу предотвратить это? Я считал hardcoding ключом в моем приложении и включал его как параметр POST с каждым запросом, но это также было бы видно.
Вы можете сделать свой API только ответом на SSL, таким образом единственное, что мог видеть инструмент мониторинга, - это рукопожатие/переговоры – rejj
Хм, мне нужно будет почитать об этом. Не очень знакомы с техническими особенностями и внедрением SSL. Это хорошая отправная точка. Спасибо – xbonez
Смотрите это: http://stackoverflow.com/questions/8674459/securing-connection-to-php-server-without-ssl –