В гибридном приложении, как подтвердить, что только ваше приложение обращается к страницам на стороне сервера

Гибридные приложения, очевидно, немного новы, поэтому сложно найти хорошую информацию по этому вопросу. Я знаю, что мне нужно разрешить общий доступ к ресурсам на моих страницах на стороне сервера, но это явно добавляет недостатки безопасности. В приложении phonegap / cordova у меня есть только клиентское управление с вызовами ajax на мою серверную страницу. Это означает, что любой может получить доступ к моим страницам php. Это означает, что любой может по существу имитировать мое приложение, получая доступ ко всем моим данным, таким как информация об учетной записи и т. Д. У меня вопрос, как я могу подтвердить, что только мое приложение имеет доступ к этим страницам? Пожалуйста, предоставьте конкретные примеры кодирования.

3

Решение

Я ответил на ваш вопрос, и многим другим нравится в этом сообщении в блоге: Подлинность клиента не проблема сервера.

Одним из самых основных правил безопасности приложений является проверка ввода. Причина, по которой это правило настолько фундаментально, заключается в том, что ваш сервер имеет контроль (и видимость) только над самим программным обеспечением. Любое другое устройство в Интернете — это черный ящик, с которым вы можете общаться по сетевым протоколам. Вы не видите, что он делает, вы видите только те сообщения, которые он отправляет.

Сервер должен оставаться независимым от клиента.

Программное обеспечение на клиенте и программное обеспечение на сервере должны иметь взаимное недоверие друг к другу. Любые сообщения, которые получает сервер, должны быть проверены на правильность и обработаны с осторожностью. Данные никогда не должны смешиваться с кодом, если вы можете помочь.

Вывод: вместо того, чтобы пытаться контролировать своих пользователей, сфокусируйтесь на том, чтобы их поведение не влияло на стабильность и целостность вашего сервера.

2

Другие решения

Этот вопрос задают здесь каждый день.

То, что вы хотите сделать, логически невозможно. Там нет решения. Вы не можете контролировать клиента.

1

По вопросам рекламы [email protected]