私はセキュリティ関連の質問があります - リモートサーバー上のPHPスクリプトを使用してデータベースにデータを読み込むアプリケーションを開発しています。私はPHPスクリプトを公に利用できるようにしたくないのですが、特定のモバイルアプリケーション(Ionic Frameworkを使用してTypeScriptで書かれています)からPHPスクリプトを使用するだけです。どのように私はこれを達成することができますか?PHPスクリプトへのアクセスを制限する
モバイルアプリケーションでクエリに何らかの種類の秘密の文字列/トークンを指定します。そして、あなたのサーバー側PHPスクリプトは、リクエストから提供された有効なトークンなしでは処理を進めません。
トークンは、あなたのPOST/GET/HTTPヘッダーなどの一部にすることができます。
このようなことを達成するために過去に行ったことは、APIキーシステムをセットアップすることです。サーバー側にAPIキーを生成し、生成した有効なキーをアプリケーションにリースします。そのキーをアプリケーションで使用すると、サーバーに送信され、モバイルアプリケーションからスクリプトを呼び出すたびにPHPスクリプトによって解析されます。キーが有効な場合、要求は有効です。
セキュリティ上の考慮事項がいくつかあります。つまり、誰かがあなたのAPIキーを取得したらどうなるでしょうか?リモートIP(および完全修飾ドメイン名)とAPIの使用状況をロギングしていますか?システムは必要なときにいつでも鍵を無効にできますか? APIリクエストはTLS接続を利用していますか?
https://stackoverflow.com/questions/18401945/is-it-possible-to-restrict-php-page-to-devices/18402432#18402432 – MLeFevre