小编use*_*090的帖子

我有一个预先存在的iOS和Android应用程序,我正在进行更新,其中包括RESTful服务API和用于身份验证的Facebook登录.该应用程序的一般流程是:

1. 用户通过Facebook的SDK"登录"到我的应用程序,该SDK将访问令牌返回到我的应用程序.
2. App调用RESTful服务,包括Facebook访问令牌作为参数(使用HTTPS和SSL)
3. 被呼叫的服务将收到的访问令牌(以及仅存储在我的服务器上的应用程序秘密)发送到Facebook以验证用户是谁,并根据该操作执行操作.Facebook设置为从服务器端调用需要app secret.

我的应用已经普及并且已经有几个克隆,我想阻止这些克隆能够使用我的RESTful API(因为我确信他们会在我发布更新时尝试做).让我们假设克隆是聪明的,使用与我的应用程序相同的Facebook访问权限(如果可能的话),并遵循类似的模式和频率调用我的应用程序所做的API.

无论如何,确保或几乎确保我的服务的呼叫只来自我的应用程序,而不是克隆？

提前致谢!