5

我正在尝试验证来自 iOS 应用程序的 HTTP 请求是否真的是从移动应用程序发送的。当前服务器代码只是检查“用户代理”HTTP 标头,当然这不是非常可靠的解决方案。

这是我看到当前 iOS SDK 可用于验证客户端是实际 iPhone 用户的方式。

推送通知

  1. iOS 应用程序从操作系统请求推送令牌并将其发送到服务器
  2. 服务器向具有隐藏标识符的应用程序发送推送通知
  3. iOS 应用程序将接收到的标识符发送到服务器
  4. 服务器响应 cookie

在沟通的第一阶段,我们可以验证用户是移动用户,因为她如何从推送通知中获取标识符到特定应用程序。

迪斯。即使我们可以重复推送通知,也不太可靠。滥用推送通知。

在应用程序内购买

可以在此处重复使用收据验证。

迪斯。明显的误用。令人困惑。


所以问题是——是否有任何适当的方法来确认请求是从 iOS 应用程序、从 iOS 设备发送的?

4

1 回答 1

4

iOS11 引入了新的 API https://developer.apple.com/documentation/devicecheck#overview 看起来解决了这个问题。

于 2017-06-30T14:43:14.417 回答