我正在开发一个 iOS 应用程序,用户可以在其中显示与其周围环境相关的内容。我有一个用户名/密码认证。因此,用户将他的 gps 数据连同他的登录信息一起发送到我的 PHP/MySQL 后端,然后返回数据。
但是,我担心有人可能会反编译我的应用程序、注册然后“扫描”我的整个数据库,方法是简单地发送具有实际上并非来自 iOS 设备的不同 gps 数据的请求。有什么办法可以防止这种情况发生吗?我已经用谷歌搜索并发现了这个威胁:
How to make sure API requests come from our mobile (ios/android) app?
但我认为那里的问题略有不同,并没有解决我的问题。
我研究过 API key ,但没有找到一种方法来阻止恶意用户通过注册/反编译访问 API,然后使用他的登录信息和代码中的 key 。
感谢任何帮助。 简
最佳答案
您可以记录每个用户的所有请求,然后使用 GPS 坐标将规则应用于用户的移动。例如,设置一个规则,如果坐标表明用户移动速度超过 500 英里/小时,或者一天内行驶超过 10,000 英里,诸如此类。如果规则触发,那么 Action 是人为的,你正在被扫描;如果规则没有触发,则意味着用户正在按预期以普通的、人性化的方式移动。
关于php - 确保 http(s) 请求来 self 的 iOS 应用,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/19327496/