当我们构建网站时,通过 HTTP 请求在应用服务器上访问我们的 API。我们可以限制客户端调用API访问的域名。现在,如果我们构建移动应用程序,我们如何识别该应用程序是经过授权的?我们无法获得任何用户代理。有什么方法可以检查吗?
在服务器上,我们使用 ASP.Net 构建。
问问题
113 次
我们可以限制客户端调用API访问的域名。
检查调用者的 IP/域可能是身份验证/授权的一个因素,但在我看来,它不应该是唯一的因素。这样的证据是可以伪造的,而且也不是细化的:你不知道用户到底是谁,只是他们(可能)来自哪里。
现在,如果我们构建移动应用程序,我们如何识别该应用程序是经过授权的?
使用适合业务需求的适当身份验证/授权机制。如果应用程序与特定用户的数据有关,则需要通过 SSL 将用户名和密码传递给您的 API。更好的是,熟悉OpenAuth。