我的一个项目有一个 Web 服务和一个 iOS 客户端(应用程序)。
我的网络服务公开了几个 REST 端点。我正在寻找一种方法来确保 web 服务只处理来自 iOS 应用程序的请求。
我知道不可能 100% 确定请求来自 iOS 应用程序。
但是有什么最佳实践可以用来确保请求仅来自 iOS。
以下是我尝试做的几件事。
- 将 API 密钥与 iOS 应用程序捆绑在一起(仅 iOS 和服务器知道)
- 使用秘密和时间戳对所有请求进行签名
- 在每个(或备用)应用程序发布周期中回收 API 机密。
我对大部分内容都很陌生,所以任何帮助/建议/建设性批评都会非常有帮助