我有一个由 asp.net webservice 创建的 rest API,我有一个调用 api 并向用户显示一些数据的 android 和 IOS 应用程序。
我需要以一种只有我的应用程序可以通过 api 访问数据并且其他请求被拒绝的方式来保护我的 API。
我应该提一下,我的应用程序不是用户群,所以没有登录和身份验证,我不想强制用户登录!!!
根据我的搜索,我需要查询身份验证(查询参数)来实现这一点。
我需要的是如何创建这种查询参数以及如何验证它们?(性能对我来说太重要了)
提前致谢
问问题
428 次
2 回答
0
您可以使用基本身份验证或任何基于令牌的身份验证机制。因此,在对您的 api 的每个请求中,获取身份验证标头(http 请求标头中的身份验证令牌)并验证是否允许客户端调用它。如果失败,则通过必要的 HTTP 状态代码发送。您只需要确保您希望允许调用您的 api 的应用程序在其请求标头中使用这些安全令牌。您可以根据需要将这些凭据或安全令牌保存在内存、文件或数据库中。
于 2015-07-27T09:51:03.533 回答
0
我不是安全专家,但据我所知,你想要什么是不可能的。攻击者可以访问您嵌入客户端以验证您的应用程序的任何内容,攻击者可以使用该信息访问您的 API。
于 2015-07-27T13:16:22.140 回答