我已经创建了这个网络应用程序并且我创建了这个 API。为了这个例子,让我们保持简单:
我的应用程序需要知道用户拥有多少“信用”。
api 有一个调用 get_credits 返回 { credits: 1000 }
现在,我如何防止某人使用主机文件(或其他一些方法)来创建他自己的返回 { credits: 2000 } 的 api。
我想插入某种散列,但因为它是 javascript,所以很容易从源中提取散列。我猜握手也是如此。
那么,如何使 api 足够安全?
最佳答案
你必须以不同的方式去做,才能拥有一个真正安全的应用程序。你永远不应该相信最终用户的应用程序,因为也许用户或黑客可以修改代码。
因此,我建议将所有购买等内容保留在服务器上。因为我现在不太了解你的系统,所以我不能帮你很多。
如果服务器为每个项目生成一个哈希值,那么这个哈希值可以允许用户向其他用户显示他真的购买了该项目,这将是一件好事。
请注意,此散列必须长且唯一,否则用户可能会强制使用它们。
我希望你理解我,我的回答可以帮助你;-)
关于security - 阻止 API "spoofing"或 "hacking",我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/7889902/