所以我正在创建一个 iOS 框架,它将是一个静态库,开发人员将添加到他们的项目中,当他们在我们的网站上创建一个帐户时,我想给他们一个独特的令牌,他们将其放入他们的应用程序中以使用我的静态图书馆。
对于 iOS 开发者,想想 TestFlight,你注册,获取一个 App ID,然后运行[TestFlight takeOff:<#some-key#>];
我想验证框架向我的 REST Web 服务发出的请求(使用 https)。
我能做些什么来防止人们“闯入应用程序代码”并窃取开发人员的 api 令牌并使用它来发出请求吗?我的 api 端点不会是公共信息,至少现在是这样。而且我无法对用户进行身份验证,因为它是一个框架,那将是一个糟糕的用户体验。
问题是,我能做些什么来防止这种行为吗?我还应该关心吗?我最终会按 X 请求向开发人员收费,所以我希望对此进行身份验证,这样我们就不会让垃圾邮件发送者为开发人员收取费用。
其他 iOS 框架如何处理这个问题?
欢迎任何设计理念和批评。