我有一个多平台项目。
它具有Web端和android端。你们建议如何验证我正在通过Web服务与之交谈的客户端是我的android客户端?有人对我应该如何认证这两个有任何想法吗?
我正在考虑将令牌字段保存在user
表中,其内容是基于客户端数据的一些唯一哈希,服务器可以识别这些哈希。但是,我不知道可以将哪些信息用作哈希的基础。
我应该使用哪些客户端信息来创建哈希值以用作身份验证令牌?
如果需要此信息,则将我的Web服务作为静态API呈现给客户端,并在服务器端用PHP编写。
谢谢。
最佳答案
您可以让客户端和服务器使用SSL相互通信,并配置服务器以要求客户端证书。有关更多信息,请参见例如https://docs.oracle.com/cd/E19424-01/820-4811/aakhe/index.html。
但是,这不能保护您免受恶意黑客的攻击,黑客可以从您的客户端提取证书并将其添加到自己的应用程序中。