我使用 flex 作为我的前端,并且希望只有那个应用程序能够与我的站点/服务通信。建议一种实现方法。如您所见,我主要关心的是安全性。
我的后端是 php (cakephp/yii/normal php)。我也有主要是 iPhone 和 Android 的移动应用程序,它们也需要通过我的 php 验证。
最佳答案
您最好的选择是识别用户,而不是应用。如果您可以通过常规登录、cookie、 session 等确定注册该应用程序的用户,则在大多数情况下您无需担心客户端。
如果这对您不起作用,那么通过隐匿性实现安全是最好的解决方案。典型的解决方案是在应用程序中包含某种 key ,该 key 被发送到服务器并可用于为每个请求创建哈希签名(例如 HMAC-SHA1)。这样做的缺点是 key 一旦被破解就很容易分发。
一个更难破解的策略是做一些模糊的事情,如果模式不匹配就拒绝访问而不通知。例如。总是在发送请求 A 后 n 秒发送模糊请求 B,其中 n 是客户端的次要版本。发挥您的想象力。
关于php - 验证服务,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/4525516/