我有一个 Windows 客户端(桌面)应用程序,第一次运行时会访问服务器并请求客户端 ID。不久之后,该客户端将通过其他请求回叫服务器。服务器可以整天分发客户端 ID,但重要的是服务器能够知道任何未来的请求都来自有效的客户端。
这意味着验证发出请求的是客户端应用程序,而不是假装是客户端应用程序的某人/其他人。理想情况下,它还涉及验证客户端应用程序的客户端 ID 是否未更改。
我曾考虑在未来的请求中包含加盐客户端 ID 的哈希值,但对于一个有决心的人来说,分解客户端以找出加盐值似乎并不难。
在此先感谢您提供任何解决方案、提示或指示!