私のNodeJSアプリケーションは認証を持っていません。私のモバイルアプリケーションからのコールだけが機能するようにするにはどうすればよいですか?私のアドバイスはある私のモバイルアプリケーションから発信されたコールだけが機能するようにするにはどうすればよいですか?
console.log(md.mobile()); // 'Sony'
console.log(md.phone()); // 'Sony'
console.log(md.tablet()); // null
console.log(md.userAgent()); // 'Safari'
console.log(md.os()); // 'AndroidOS'
console.log(md.is('iPhone')); // false
:
あなたは、このNPMパッケージ...
使用をユーザーエージェントフィールドを使用することができます。https://www.npmjs.com/package/mobile-detect
var MobileDetect = require('mobile-detect'),
md = new MobileDetect(req.headers['user-agent']);
、その後、例えば結果を取得しますより安全なシステムを実装する
できません。不可能だよ。
APIをインターネット経由でアクセスする必要がある場合は、インターネット経由でAPIにアクセスする必要があります。
アプリケーションから来ているように見せるようにするのは簡単です。キーを使用してリクエストに署名し、そのたびにリクエストのシリアルを増やしてリプレイ攻撃を防止することが、最良の保護方法です。しかし、これにはアプリケーションにキーを入れる必要があります。これは、アプリケーションをハッキングすることで取得できます。キーがわかれば、任意のAPIリクエストを可能にします。
認証のない公開エンドポイントはすべて公開されています。自分のアプリだけに限定することはできません。誰でもあなたのアプリからネットワークトラフィックを見て、あなたのアプリの外からそれを複製することができます。
サーバーの使用を「管理する」(防止しない)ためのスキームがいくつかあります。ここでは最も一般的なものがあります。
セキュリティ資格情報(パスワード、証明書など)をあなたのアプリケーションに埋め込むスキームもありますが(SSLのカバーの下にあるかもしれませんが)、あなたのサーバーにアクセスするために使用する必要がありますが、リバースエンジニアリングされ、決定された泥棒の前にとどまるのは難しいです。一般的には、すべての人を忘れさせるのではなく、誤った行動を検出して管理する方が良いと思います。許可されていないユーザーがサーバーにアクセスしているかもしれないという事実は、あまり使用しない限り、おそらく何かを傷つけることはありません。だから、Everyoineを保持しようとするのではなく、誰かが(あまりにも多くの場合、あなたの通常のアプリケーションの使用によって)使用されていることを検出し、さらにその使用を停止する。
より具体的には、何を呼びますか?どのようなアプリケーションですか? – itsundefined
私は公開エンドポイントを持っていますが、私のモバイルアプリケーションを通じて行われたコールだけを動作させる方法を教えてください。 –
nodeJSアプリケーションをインターネット上で開いていて、モバイルアプリケーション経由でのみアクセスしたいと思っていますか? – itsundefined