3

给定的服务器 API 应该可供所有未经授权的用户公开访问,但请求应该只允许来自一个特定的应用程序。

理论上,这应该通过拥有应用程序HMAC-sign all API requests以及让服务器正确发布和存储来完成nonces(以避免重放攻击)。

问题::

是否有任何已知的方法可以让移动应用程序对秘密进行切片、切块、切分和异或运算,以使黑客和破解者很难(如果不是不可能的话)检索密钥?

4

1 回答 1

3

使用 iTunes 连接创建免费的应用内购买并让用户“购买”它(即使他们不会被收取任何费用)......然后使用您的服务器验证收据......Apple 将提供交易收据,该收据将验证它起源于您的应用程序。

https://developer.apple.com/library/ios/#releasenotes/StoreKit/IAP_ReceiptValidation/

于 2013-02-21T15:51:19.513 回答