我一直在尝试确定是否可以授权移动应用程序和我的ASP.NET web api服务之间的通信,而无需用户使用用户名和密码进行身份验证。这很重要,因为我的应用程序的用户根本不会登录,也永远不会登录。当然,所有流量都将通过HTTPS发送。
这意味着我不能使用OAUTH或BASIC身份验证来验证流量,因为它们需要凭据。
因此,我需要一些方法来安全地存储某种身份验证令牌,这些令牌打包在应用程序中,只有在需要与服务器通信时才能访问,并且不会被坚定的黑客"发现"。
这当然是不可能的。
谢谢。
一般来说,这是不可能的。你的服务器永远不应该信任它的客户端。黑客可以检查你的客户端应用程序并创建相应的应用程序。
但如果你:,你可以让黑客的生活变得更加艰难
- 使用HTTPS的自定义cliest-sertificat,请查看此处
- 在http请求中使用临时访问密钥。应用程序应该向您的服务器请求新的临时访问密钥。部分密钥服务器将发送响应,另一部分将通过云消息发送。以一些非琐碎的方式组合键的各个部分
- 混淆你的应用程序