8
วิธีปกป้อง REST API สำหรับแอปพลิเคชันมือถือที่เชื่อถือได้เท่านั้น
ฉันจะแน่ใจได้อย่างไรว่า REST API ของฉันตอบสนองต่อคำขอที่สร้างโดยลูกค้าที่เชื่อถือได้เท่านั้นในกรณีของฉันเป็นแอปพลิเคชันมือถือของฉันเอง ฉันต้องการป้องกันคำขอที่ไม่ต้องการมาจากแหล่งอื่น ฉันไม่ต้องการให้ผู้ใช้กรอกรหัสซีเรียลหรืออะไรก็ตามมันควรจะเกิดขึ้นหลังฉากเมื่อติดตั้งและไม่ต้องมีการโต้ตอบกับผู้ใช้ เท่าที่ฉันทราบ HTTPS เป็นเพียงการตรวจสอบความถูกต้องของเซิร์ฟเวอร์ที่คุณสื่อสารด้วย ฉันกำลังจะใช้ HTTPS เพื่อเข้ารหัสข้อมูล มีวิธีการทำสิ่งนี้หรือไม่? อัปเดต: ผู้ใช้สามารถดำเนินการแบบอ่านอย่างเดียวซึ่งไม่ต้องการให้ผู้ใช้ลงชื่อเข้าใช้ แต่ยังสามารถทำการเขียนได้ซึ่งผู้ใช้ต้องลงชื่อเข้าใช้ (การรับรองความถูกต้องโดย Access Token) ในทั้งสองกรณีฉันต้องการให้ API ตอบกลับคำขอที่มาจากแอปพลิเคชันมือถือที่เชื่อถือได้เท่านั้น API จะใช้สำหรับการลงทะเบียนบัญชีใหม่ผ่านแอปพลิเคชันมือถือ อัปเดต 2:ดูเหมือนว่ามีคำตอบมากมายสำหรับเรื่องนี้ แต่ฉันก็ไม่รู้เหมือนกันว่าจะตอบคำตอบแบบใด บางคนบอกว่าสามารถทำได้บางคนบอกว่าทำไม่ได้