Melindungi API REST untuk Apl Mudah Alih Apabila Menghidu Permintaan Menyediakan Kunci
Pengenalan
Walaupun kaedah pengesahan seperti API Basic Pengesahan, Kunci API dan OAuth 2.0, penggodam selalunya boleh menghidu permintaan pada mudah alih aplikasi untuk mendedahkan "kunci" yang digunakan untuk pengesahan. Ini memberi mereka akses kepada API seolah-olah mereka menggunakan apl tersebut. Jadi, adakah cara untuk mendapatkan API yang digunakan oleh apl mudah alih?
Perbezaan Antara "Apa" dan "Siapa"
Apabila mengesahkan permintaan API, adalah penting untuk membezakan antara "apa" yang membuat permintaan (apl mudah alih) dan "siapa" yang mengakses API (yang pengguna).
Menyamar sebagai Apl Mudah Alih
Penyerang boleh mengeluarkan kunci pengesahan dengan mudah daripada apl mudah alih menggunakan proksi, membolehkan mereka menyamar sebagai apl dan membuat panggilan API.
Mengeras dan Melindungi Apl Mudah Alih
Mudah Alih penyelesaian pengerasan dan perisai cuba menghalang peranti yang terjejas dan apl yang diubah suai daripada mengakses API. Walau bagaimanapun, penyelesaian ini tidak mudah dan boleh dipintas.
Melindungi Pelayan API
Melangkah Tambahan Mile
Atas ialah kandungan terperinci Bagaimanakah Kami Boleh Melindungi API Apl Mudah Alih Terhadap Permintaan Serangan Menghidu?. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!
Pengenalan kepada rangka kerja yang digunakan oleh vscode
Apakah itu Bitcoin? Adakah ia satu penipuan?
Bagaimana untuk mengimport easygui dalam vscode
Apakah itu Bitcoin ETF?
Bagaimana untuk memadam emotikon WeChat
Bagaimana untuk menetapkan textarea baca sahaja
Perbezaan antara wlan dan wifi
Adakah sah untuk membeli dan menjual Bitcoin di Huobi.com?
![[Web front-end] Permulaan pantas Node.js](https://img.php.cn/upload/course/000/000/067/662b5d34ba7c0227.png)
