Melindungi API REST untuk Apl Mudah Alih Apabila Menghidu Permintaan Menyediakan Kunci
Pengenalan
Walaupun kaedah pengesahan seperti API Basic Pengesahan, Kunci API dan OAuth 2.0, penggodam selalunya boleh menghidu permintaan pada mudah alih aplikasi untuk mendedahkan "kunci" yang digunakan untuk pengesahan. Ini memberi mereka akses kepada API seolah-olah mereka menggunakan apl tersebut. Jadi, adakah cara untuk mendapatkan API yang digunakan oleh apl mudah alih?
Perbezaan Antara "Apa" dan "Siapa"
Apabila mengesahkan permintaan API, adalah penting untuk membezakan antara "apa" yang membuat permintaan (apl mudah alih) dan "siapa" yang mengakses API (yang pengguna).
Menyamar sebagai Apl Mudah Alih
Penyerang boleh mengeluarkan kunci pengesahan dengan mudah daripada apl mudah alih menggunakan proksi, membolehkan mereka menyamar sebagai apl dan membuat panggilan API.
Mengeras dan Melindungi Apl Mudah Alih
Mudah Alih penyelesaian pengerasan dan perisai cuba menghalang peranti yang terjejas dan apl yang diubah suai daripada mengakses API. Walau bagaimanapun, penyelesaian ini tidak mudah dan boleh dipintas.
Melindungi Pelayan API
Melangkah Tambahan Mile
Atas ialah kandungan terperinci Bagaimanakah Kami Boleh Melindungi API Apl Mudah Alih Terhadap Permintaan Serangan Menghidu?. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!
Penyelesaian kepada masalah yang perisian muat turun win10 tidak boleh dipasang
Bagaimana untuk menyelesaikan masalah bahawa partition cakera keras tidak boleh dibuka
kemas kini penggunaan penyata
Nama domain tapak web percuma
Padamkan jadual berlebihan dalam jadual
Apakah maksud wifi dinyahaktifkan?
Bagaimana untuk mengoptimumkan satu halaman
Apakah kaedah untuk menukar IP dalam vps dinamik serta-merta?
![[Web front-end] Permulaan pantas Node.js](https://img.php.cn/upload/course/000/000/067/662b5d34ba7c0227.png)
