私は、主にデータベースと通信する目的で、私が書いているモバイルアプリケーションで使用するREST APIを開発中です。プライベートAPIを保護するにはどうすればいいですか
example.com/mobileapi/getinfo
をそして、それぞれの呼び出しと一緒に特定のPOSTペイロードを運ぶ:
モバイルアプリケーションは、このようなURLへの呼び出しを行います。
私は誰かがフィドラーまたはWiresharkのようなネットワーク監視ツールを使用してモバイルアプリケーションを一緒に使用した場合、私は心配することは、彼らはすべての文書化ができている、しかしなど
ユーザー認証について心配していませんURLは、すべてのPOSTパラメータとともに呼び出されます。それは私のAPIを使用する独自のアプリケーションを作成するのに十分な情報です。
どうすればこの問題を防ぐことができますか?私は自分のアプリケーションにKeyをハードコーディングすることを検討し、それを各リクエストにPOSTパラメータとして含めましたが、それも表示されます。
APIをSSL上でのみ応答させることができます。そのようにすれば、監視ツールが見ることができるのはハンドシェーク/ネゴシエーションだけです – rejj
うーん、それについて読まなくてはなりません。 SSLの技術と実装にはあまり慣れていません。しかし、それは良い出発点です。ありがとう – xbonez
これを参照してください:http://stackoverflow.com/questions/8674459/securing-connection-to-php-server-without-ssl –