У меня есть клиентское приложение, которое можно идентифицировать с помощью некоторого UID. У меня есть бэкэнд-сервис, который клиентское приложение нужно вызвать, чтобы получить некоторые списки. Какова была бы наилучшая практика для обеспечения этой бэкэнд-службы? Я не хочу защищать логин/пароль (потому что клиенту не требуется «войти» для извлечения списков), однако я бы не хотел, чтобы кто-нибудь легко вызывал этот API-интерфейс и извлекал эти списки для своих целей , Подумайте о клиенте как пользовательский клиент Flash или мобильный клиент и т. Д. Связь осуществляется через HTTP REST. Любые идеи?Рекомендации по защите API без логина/пароля
Благодаря
UPDATE: К сожалению, забыл упомянуть - без использования SSL. В принципе, я ищу здесь идею алгоритма/стратегии. Спасибо за предложения!
какой-нибудь длинный случайный токен, который идентифицирует пользователя? – alfasin
Что случилось с другим ответом? У него были действительно хорошие ссылки! –
Если вы не используете SSL, вы потерпите неудачу. Плохой парень может легко следить за связью между сервером/клиентом и делать всевозможные плохие вещи. –