В гибридном приложении, как подтвердить, что только ваше приложение обращается к страницам на стороне сервера

Question

В гибридном приложении, как подтвердить, что только ваше приложение обращается к страницам на стороне сервера

Гибридные приложения, очевидно, немного новы, поэтому сложно найти хорошую информацию по этому вопросу. Я знаю, что мне нужно разрешить общий доступ к ресурсам на моих страницах на стороне сервера, но это явно добавляет недостатки безопасности. В приложении phonegap / cordova у меня есть только клиентское управление с вызовами ajax на мою серверную страницу. Это означает, что любой может получить доступ к моим страницам php. Это означает, что любой может по существу имитировать мое приложение, получая доступ ко всем моим данным, таким как информация об учетной записи и т. Д. У меня вопрос, как я могу подтвердить, что только мое приложение имеет доступ к этим страницам? Пожалуйста, предоставьте конкретные примеры кодирования.

3

cordova hybrid-mobile-app php security

Решение

Другие решения

Этот вопрос задают здесь каждый день.

То, что вы хотите сделать, логически невозможно. Там нет решения. Вы не можете контролировать клиента.

1

Источник

Accepted Answer

Я ответил на ваш вопрос, и многим другим нравится в этом сообщении в блоге: Подлинность клиента не проблема сервера.

Одним из самых основных правил безопасности приложений является проверка ввода. Причина, по которой это правило настолько фундаментально, заключается в том, что ваш сервер имеет контроль (и видимость) только над самим программным обеспечением. Любое другое устройство в Интернете — это черный ящик, с которым вы можете общаться по сетевым протоколам. Вы не видите, что он делает, вы видите только те сообщения, которые он отправляет.

…

Сервер должен оставаться независимым от клиента.

Программное обеспечение на клиенте и программное обеспечение на сервере должны иметь взаимное недоверие друг к другу. Любые сообщения, которые получает сервер, должны быть проверены на правильность и обработаны с осторожностью. Данные никогда не должны смешиваться с кодом, если вы можете помочь.

…

Вывод: вместо того, чтобы пытаться контролировать своих пользователей, сфокусируйтесь на том, чтобы их поведение не влияло на стабильность и целостность вашего сервера.

2