只能在app内进行调用,不能在web端调用。
我好像听说有这个东西。我用的是spring mvc框架,不知道怎么实现这样的功能。。
只能说做到部分禁止。
在app里调用之前设置一个特殊的User Agent,比如“My own app”,在程序开始检查浏览器发过来的User Agent,如果不是“My own app”,则直接报错。
但是如果遇到高手,他们可以任意伪造User Agent,他们只要一拦截你的App和你的服务器之间的通讯,就能知道你使用了什么样的User Agent,然后在浏览器里伪造一个跟你要求的一模一样的字符串就行了。
获取当前时间然后加盐加密,通过url或者ua发送到服务器解析,解析出来与服务器时间对比,超过1分钟的都扔掉。这样别人就算伪造了ua,也只能用1分钟,然后再去伪造新的ua。
https客户端认证
如果使用http接口的话,不妨加一层认证逻辑;或者使用非http接口,这样web端就无法调用了
终级方案就是@markov 说得开启服务端https的双向认证。简单点,也可以app生成校验码做为http header传给服务器,服务端拿到校验码解密后校验。
只能说做到部分禁止。
在app里调用之前设置一个特殊的User Agent,比如“My own app”,在程序开始检查浏览器发过来的User Agent,如果不是“My own app”,则直接报错。
但是如果遇到高手,他们可以任意伪造User Agent,他们只要一拦截你的App和你的服务器之间的通讯,就能知道你使用了什么样的User Agent,然后在浏览器里伪造一个跟你要求的一模一样的字符串就行了。
获取当前时间然后加盐加密,通过url或者ua发送到服务器解析,解析出来与服务器时间对比,超过1分钟的都扔掉。这样别人就算伪造了ua,也只能用1分钟,然后再去伪造新的ua。
https客户端认证
如果使用http接口的话,不妨加一层认证逻辑;
或者使用非http接口,这样web端就无法调用了
终级方案就是@markov 说得开启服务端https的双向认证。
简单点,也可以app生成校验码做为http header传给服务器,服务端拿到校验码解密后校验。