[英]Make sure an http(s) request is coming from my iOS app
我正在開發一個iOS應用程序,用戶可以在其中顯示與周圍環境相關的內容。 我有一個用戶名/密碼驗證。 因此,用戶將他的gps數據及其登錄信息發送到我的PHP / MySQL后端,然后返回數據。
但是,我擔心有人可能會反編譯我的應用程序,注冊然后“掃描”我的整個數據庫,只需發送不具有實際來自iOS設備的不同gps數據的請求。 有什么方法可以防止這種情況嗎? 我已經google了,發現了這個威脅:
如何確保API請求來自我們的移動(ios / android)應用程序?
但我認為那里的問題略有不同,並沒有解決我的問題。
我查看了API密鑰,但沒有找到辦法阻止惡意用戶通過注冊/反編譯獲取對API的訪問權限,然后使用他的登錄信息以及代碼中的密鑰。
任何幫助表示贊賞。 一月
您可以記錄每個用戶的所有請求,然后使用GPS坐標將規則應用於用戶的移動。 例如,如果坐標表明用戶移動速度超過500英里/小時,或者在一天內行駛超過10,000英里,則設置一個觸發規則。 如果規則觸發,則移動是人為的並且您正在被掃描; 如果規則不觸發它意味着用戶正在按照預期的普通人類方式移動。
好吧,我不是移動設備開發人員,但是如果你沒有其他選擇,你可以生成一個令牌(一些哈希值),並且每次調用你的API都需要針對令牌進行驗證?
我之前遇到過類似問題的問題。 最后,您無法真正依賴於檢查基於設備的耦合和訪問規則。
首先要考慮的是某種形式的身份驗證。 但猜猜你已經考慮過了,它可能不適用於你的應用。
我的方法是檢查和限制一天內某個來源的查詢數量。 根據刷新間隔計算,您希望從后端獲取的數據量是多少,在此基礎上增加10%,並在超出時停止向該目標提供數據,並向管理員發送有關該事件的電子郵件,以便他可以調查一下,也許永久地禁止客戶。
正如之前的評論中所述,也不是防水,但它以設備無關的方式工作,並且你越難以濫用它,它就越好。
PHP referrer:如何確保請求實際來自它應該來自哪里
[英]PHP referrer: How to make sure a request is actually coming from where it's supposed to come from
如何確保POST數據是從我的網站的形式從發送HTTP_REFERRER,一邊用隨機數?
[英]How to make sure POST data is sent from my website's form, aside from HTTP_REFERRER and using a nonce?
PHP檢查以確保請求是來自我網站的xmlhttp還是來自某個域的正常請求
[英]PHP check to make sure request is either xmlhttp from my site or normal request from a certain domain
如果請求從移動應用程序發送到PHP,則HTTP_USER_AGENT的等效值應該是多少?
[英]What should be the equivalent of HTTP_USER_AGENT in case of request coming from mobile app to PHP?
是否有可能僅針對來自特殊android應用的請求做出php服務器響應?
[英]is it possible to make a php server response just to request coming from a special android app?
如何在PHP中發出HTTP POST XML請求實際上將XML數據發送到供應商的服務器?
[英]How to make my HTTP POST XML request in PHP actually send XML data to my vendor's Server?
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.
