1

我正在尝试保护我使用 PhoneGap 构建的适用于 iOS 和 Android 的应用程序。如果有人碰巧破坏了应用程序并访问了 JS 文件中的 Web 服务 URL,我不希望 Web 服务在从浏览器或除我之外的其他应用程序调用时响应。

我能想到的方法是 - 1.使用用户代理检查请求来自哪里。- 它需要来自设备(但可以欺骗用户代理) 2. 将 BundleID 和 Bundle 名称发送到 WS 进行身份验证。但我担心的是如果应用程序坏了可以访问这些信息吗?3. 请推荐是否有其他方法来保护正在使用的 Web 服务,除了它打算在其中使用的应用程序。

问候,厘米

4

2 回答 2

0

如果您担心安全性,请使用 HTTPS。

其他任何东西都可以很容易地从计算机上进行欺骗。

于 2013-07-26T09:05:01.287 回答
0

捆绑包 ID 可以从 iOS 应用程序中轻松提取。iOS .ipa 只是一个包含 .app 的 zip 文件。可以在 Info.plist 文件中找到捆绑 ID,以及可以使用该codesign工具读取的代码签名权利。

您无法真正保护您的 Web 服务不被非应用程序代码使用。您可以在应用程序中嵌入某种私钥并在服务器上进行验证,但始终可以提取密钥。这仅取决于您和潜在的攻击者愿意在该问题上花费多少时间。

于 2013-07-26T09:13:43.193 回答