我有一个由页面和 Web 服务组成的服务器。该 Web 服务旨在供我自己开发的 Windows Phone 移动应用程序使用。
现在,我的问题是,如何确定 Web 服务请求来自我开发的移动应用程序?在普通的 Web 应用程序中,可以使用证书和数字签名的组合来确保调用者的身份。
主要问题是 Silverlight 不允许开发者加载安装在手机上的证书并获取私钥对数据进行签名。我曾想过将私钥硬编码到应用程序中,但这根本不安全,因为应用程序很容易被反汇编和逆向工程。
我还能做些什么来确保 Web 服务请求来自我开发的移动应用程序而不是来自普通 Web 应用程序?