如何验证被攻击的 API 是否来自实际应用程序,并且没有经过任何 MITM 攻击。
我知道 SSL 证书可用于实现传输级别的安全性,并且应用程序可以确保它连接到正确的服务器,但我如何才能从应用程序端获得相同的东西。
我只是想确保只有我的应用在访问我的服务,并且访问不是来 self 不信任的地方。
谢谢
最佳答案
再次查看 SSL - 例如,它提供客户端证书来执行此操作。然而,这只会转移问题,因为攻击者可能会使用应用程序用来获取证书的相同机制。 (共享 API token 通常也被认为是好的,并且更容易实现。)
一般来说,您无法对此做出保证。您可能会通过外部方式(例如,让用户输入他们的用户名和密码)颁发基于用户身份验证的证书,或者通过使用反向图灵测试(例如,完全自动化的程序来告诉对手)很难滥用您的 API,从而获得良好的结果计算机和人类分开,也称为验证码)。
关于ios - iOS中如何实现客户端验证?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/35031924/