84669 人学习
152542 人学习
20005 人学习
5487 人学习
7821 人学习
359900 人学习
3350 人学习
180660 人学习
48569 人学习
18603 人学习
40936 人学习
1549 人学习
1183 人学习
32909 人学习
只能在app内进行调用,不能在web端调用。
我好像听说有这个东西。我用的是spring mvc框架,不知道怎么实现这样的功能。。
只能说做到部分禁止。
在app里调用之前设置一个特殊的User Agent,比如“My own app”,在程序开始检查浏览器发过来的User Agent,如果不是“My own app”,则直接报错。
但是如果遇到高手,他们可以任意伪造User Agent,他们只要一拦截你的App和你的服务器之间的通讯,就能知道你使用了什么样的User Agent,然后在浏览器里伪造一个跟你要求的一模一样的字符串就行了。
获取当前时间然后加盐加密,通过url或者ua发送到服务器解析,解析出来与服务器时间对比,超过1分钟的都扔掉。这样别人就算伪造了ua,也只能用1分钟,然后再去伪造新的ua。
https客户端认证
如果使用http接口的话,不妨加一层认证逻辑;或者使用非http接口,这样web端就无法调用了
终级方案就是@markov 说得开启服务端https的双向认证。简单点,也可以app生成校验码做为http header传给服务器,服务端拿到校验码解密后校验。
只能说做到部分禁止。
在app里调用之前设置一个特殊的User Agent,比如“My own app”,在程序开始检查浏览器发过来的User Agent,如果不是“My own app”,则直接报错。
但是如果遇到高手,他们可以任意伪造User Agent,他们只要一拦截你的App和你的服务器之间的通讯,就能知道你使用了什么样的User Agent,然后在浏览器里伪造一个跟你要求的一模一样的字符串就行了。
获取当前时间然后加盐加密,通过url或者ua发送到服务器解析,解析出来与服务器时间对比,超过1分钟的都扔掉。这样别人就算伪造了ua,也只能用1分钟,然后再去伪造新的ua。
https客户端认证
如果使用http接口的话,不妨加一层认证逻辑;
或者使用非http接口,这样web端就无法调用了
终级方案就是@markov 说得开启服务端https的双向认证。
简单点,也可以app生成校验码做为http header传给服务器,服务端拿到校验码解密后校验。