如何只允许我的客户访问我的 API?
How do I give only my client access to my API?
我正在开发一个 REST 网站 API,移动应用程序客户端将使用该网站。我不希望任何其他客户端能够访问 API。我是否应该只需要移动应用程序将使用的 password/token?人们没有办法通过反编译我的应用程序来找到该密码吗?
是的,您不能创建嵌入了秘密的应用程序并希望秘密保密。
如果您使用秘密(令牌、user/pass、私钥等)发布应用程序,则该信息在二进制文件中可用,并且有动机的人可以提取它。
通常的做法是安装应用程序,然后让应用程序的用户登录,并为以后的请求存储一个唯一的凭据。
您可以使用 OWIN OAUTH,其中客户端的用户需要进行身份验证并且 Bearer 授权令牌返回给客户端,该令牌必须传递给 WebAPI 上的所有安全请求(WebAPI 上的安全请求使用授权属性)
我正在开发一个 REST 网站 API,移动应用程序客户端将使用该网站。我不希望任何其他客户端能够访问 API。我是否应该只需要移动应用程序将使用的 password/token?人们没有办法通过反编译我的应用程序来找到该密码吗?
是的,您不能创建嵌入了秘密的应用程序并希望秘密保密。
如果您使用秘密(令牌、user/pass、私钥等)发布应用程序,则该信息在二进制文件中可用,并且有动机的人可以提取它。
通常的做法是安装应用程序,然后让应用程序的用户登录,并为以后的请求存储一个唯一的凭据。
您可以使用 OWIN OAUTH,其中客户端的用户需要进行身份验证并且 Bearer 授权令牌返回给客户端,该令牌必须传递给 WebAPI 上的所有安全请求(WebAPI 上的安全请求使用授权属性)