有没有办法将发布请求限制到我的REST API只限于来自我自己的移动应用程序二进制文件的请求?此应用程序将在Google Play和Apple App Store上发布,因此应该暗示有人可以访问其二进制文件并尝试对其进行反向工程.
我正在考虑涉及应用程序签名的内容,因为每个已发布的应用程序都必须以某种方式签名,但我无法弄清楚如何以安全的方式执行此操作.也许结合获取应用程序签名,加上基于时间的哈希,加上应用程序生成的密钥对和良好的旧安全性,虽然默默无闻?
我正在寻找尽可能失败证明的东西.原因是因为我需要根据手机传感器收集的数据向应用程序提供数据,如果人们可以伪装成我自己的应用程序并将数据发送到我自己的算法未处理的api,它就会失败目的.
无论多么复杂,我都愿意接受任何有效的解决方案.非常感谢锡箔帽解决方案.