ПроблемаКак убедиться, что только мое приложение может вставлять данные в БД?
Я разрабатываю back-end для приложения iOS. Одна из конечных точек позволяет приложению вставлять данные в базу данных, например. register-user.php
.
Приложение вызывает API с определенными параметрами (например, имя пользователя и пароль), сервер выполняет определенные операции (например, соль и хэш-пароль), а затем сохраняет все в базе данных.
Вопрос
Как я могу убедиться, что только приложение может фактически вызвать API и вставить данные в базу данных?
Я просмотрел сертификаты SSL
и OAuth2
, но они, похоже, не применяются здесь (если только я их не понял).
Вы можете зашифровать трафик и приложение, но в конечном счете, если кто-то хочет взломать ваше приложение и использовать API, он, вероятно, будет. (что также означает, что любые секретные ключи, которые у вас есть в вашем приложении, будут известны) –
Затем передайте ключ, известный только приложению, в каждом вызове api, который должен быть проверен перед выполнением. – DLastCodeBender