我正在开发一个 Phonegap 应用程序,它通过 API 从我的服务器请求数据。当然,现在我希望只有我的应用程序可以请求此数据,而不是拥有该域的其他人。所以我做了http basic auth。
这意味着我现在拥有应用程序随 API 请求一起发送的用户名和密码。用户和密码位于我的 javascript 中,但由于 Phonegap 正在将其转换为 native 应用程序,因此源代码不太容易访问。
没那么容易...但是:
Since a Cordova application is built from HTML and JavaScript assets that get packaged in a native container, you should not consider your code to be secure. It is possible to reverse engineer a Cordova application.
http://docs.phonegap.com/en/4.0.0/guide_appdev_security_index.md.html
是否有任何方法可以发出安全请求,或者 Phonegap 无法做到这一点?
最佳答案
您可以使用hmac key-hashed function通过传递消息、用户密码 token 和 utc 日期时间来创建 key 。该 key 将附加到每个请求 header 中。现在,服务将在其一侧执行相同的操作,并且应该返回相同的 key 。这将确保消息在任何时候都没有被篡改。
关于javascript - 从 Phonegap/Cordova 应用程序发出安全的 API 请求,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/30806240/