Недавно мне было предложено создать сценарий загрузки изображений PHP, который разрешал загружать только приложения iOS, написанные в Objective-C. Наряду с загрузкой приходят поля с ключом и идентификатором $ _POST, которые используются для проверки пользователя. Как я могу предотвратить попытки третьих сторон загрузить изображение?Загрузка изображения Только из приложения iOS
Статический ключ не обеспечивает большую безопасность. Кто-то может просто использовать сниффер пакетов для захвата ключа, а затем использовать один и тот же ключ в своих сообщениях.
Более строгий подход заключается в том, чтобы сервер посылал вызов со случайным значением в нем. Приложение iOS будет шифровать это значение с помощью закрытого ключа схемы шифрования с открытым/закрытым ключом и отправить результат на сервер. Затем сервер будет использовать открытый ключ для дешифрования сообщения и проверки его.
С https (SSL/TLS) и сертификатом, подтверждающим, что нюхание не является основным вопрос. Что касается запроса-ответа, то существует стандарт: [CHAP] (http://en.wikipedia.org/wiki/Challenge-Handshake_Authentication_Protocol). – zaph
См. Http://stackoverflow.com/questions/21465559/restrict-api-requests-to-only-my-own-mobile-app – rmaddy