我目前正在使用Invision论坛来托管我的网站
我们正在使用他们的API密钥来提取用户数据&通过我们的启动器登录。
我注意到,返回到我们启动器的所有信息都在计划文本(JSON(中。这使得有人很容易将我们的流量重定向到启动器并插入一个假的json文件。
简而言之,破解启动器/登录系统。
我需要知道是否有任何验证方法可以调用,以确保信息是从我的主机发送的&不是另一个在中间。
该网站是HTTPS。
谢谢。
好的,这里有一点背景。
1,我们使用的是云托管社区,所以我们的访问权限比自托管网站等
2,我们正在用c#发送api密钥作为参数,这里有一个我将如何检索用户活动购买的示例,(我将在结果上启用页面视图选项卡,它可以访问下载链接、更新程序和程序的启动方法等(:
var client = new RestClient("https://HIDDEN.forumflash.com");
var request = new RestRequest("/api/nexus/purchases", DataFormat.Json);
request.AddParameter("key", "BlahBlahBlah"); // Enter in Api Key
request.AddParameter("customers", MemID); // Pass id from member request
request.AddParameter("active", 1); // Check active purchases
var response = client.Get(request);
if (response.StatusCode == HttpStatusCode.OK)
{
dynamic resp = JObject.Parse(response.Content);
// do stuff with object.
}
结果总是一个json字符串,我无法更改它。
3,我们能够访问这些信息的另一种方式是获得oAuth令牌,并发送它而不是api密钥。我觉得这稍微安全一点,因为我们可以随时撤销任何授权令牌,同时心血来潮地更改秘密,而令牌大约每小时就会过期(更改(一次?
但我们觉得这可能不太";足够";,并希望更进一步;认证";响应DID实际上来自服务器或服务器IP地址,而不是一些中间商服务器。
我一直在研究服务器证书验证,但我所能找到的似乎只是禁用或如何发送它们的方法,没有任何隐含的验证示例(老实说,我们一直在学习,这对我们来说是一个漏洞(,朝着适当的方向简单推动会有很大帮助。