0

有没有办法检查来自我的分布式客户端对我的 Web 应用程序 API 的调用???

也就是说,如果我有一个胖客户端(Windows 窗体客户端说)和暴露 HTTPS 接口的服务器端 Web 应用程序(假设用户将用户名/密码放入客户端配置以进行身份​​验证),有没有办法确保 Web 应用程序界面仅供我的客户使用?也就是说,防止使用“玩系统”并开发自己的脚本/应用程序来使用 API(因此可能滥用服务)。

如果我以某种方式将私钥埋入 WinForms 客户端以便它可以对有效负载进行签名,这意味着它可能会被用户反编译???只是想知道是否有可能解决这个问题....

谢谢

4

1 回答 1

1

您可以使“玩系统”变得更加困难,但您不能在客户的计算机上隐藏任何秘密。

只要代码是“坏人”,可以直接访问进行 Web 服务调用的程序,他就可以对其进行反汇编,或通过其他方式对其进行逆向工程,以获取如何进行经过身份验证的调用的秘密到服务。

于 2009-12-07T11:28:42.470 回答