gpt4 book ai didi

android - 保护移动应用程序调用的 API

转载 作者:行者123 更新时间:2023-11-28 21:38:43 25 4
gpt4 key购买 nike

我一直在进行大量搜索,以确保我的 api 用于 Android 或 IOS 的移动应用程序。

几乎所有示例都告诉用户以某种方式提供用户 ID 和密码以交换 token 。

但是如何防止其他人在未经我同意的情况下使用我的api?面对以下场景:我公开了一个 API,然后,我开发了一个供安卓使用的应用程序,然后,我开发了一个适用于 IOS 的应用程序来使用它。

其他开发人员执行修订。工程师在我的应用程序中创建了自己的应用程序并开始未经授权使用它。

如何预防?

最佳答案

简短回答:你不能

稍微长一点的回答:如果您知道自己在做什么,您总是可以对给定的应用程序进行逆向工程并使用它的 api。您只能让它变得更加困难和耗时,通过 token 和设备 ID 或用户名使用身份验证是很好的第一步。除此之外:你为什么要对外界关闭你的api?如果您的服务器代码编写得很好,就没有什么可担心的。

您也许可以在法律基础上保护您的 API 并起诉使用它的开发人员,但这是一个完全不同的话题。

有关保护 API 和通过 API 保护内容的一些说明。假设您创建了一个服务器,如果该组合正确,您可以在其中发送用户/密码并接收 token 。对于您发送所述 token 的帐户页面,服务器验证该 token 是否有效并返回您的帐户页面。您保护了 API 的实际内容。除非您没有特定于用户的数据,否则这显然是非常有可能的,而且几乎是必须具备的。 但是仍然每个人都可以从他们的自定义应用程序发送完全相同的初始请求,发送用户/通行证并再次收到 token 等。您无法真正阻止请求本身甚至确定它没有发送通过一些未经您授权的服务。您可以随请求发送一些哈希值以通过混淆来增加一些安全性,但由于您的应用必须计算它们,因此逆向工程也可以。

关于android - 保护移动应用程序调用的 API,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/32912829/

25 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com