我正在编写一个 Ionic 移动应用程序,它将 HTTP 请求发送到 Java servlet。 HTTP请求url包含用户信息,将用于更新后端数据库。但是,我不希望除我的应用程序用户之外的任何人通过从外部源发送 HTTP 请求来搞乱我的数据库。用户不需要登录即可使用我的应用程序,因此我无法验证发送请求的人员的身份。到目前为止,我想到的唯一解决方案是随请求一起发送 key ,然后在 servlet 上验证该 key 。然而,这种硬编码方式远不能令人满意。什么是更好的方法?或者我连接到后端错误?我愿意接受所有建议。
最佳答案
如果您在不验证用户凭据的情况下更新数据,那么任何人都可以更新它,因为这只是修改用户代理并嗅探负载中的 key 的问题,该 key 与 URL 本身一样 secret 。您必须找到一种方法来验证连接,例如,发送您要发送的数据的哈希值,并使用您在应用程序安装期间生成的唯一 key 和生成的用户 ID 进行加盐,并将其发送到你在安装过程中。然后,您可以将唯一 key 保留在数据库中,每当收到请求时,您都会对数据进行哈希处理并匹配哈希值,以确保它是从移动设备发送的。
关于java - 限制对 Java Servlet 的访问,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/38622808/