モバイルアプリケーションを開発するため、REST API(サーバークライアント)が用意されています。クライアントによるREST APIアクセスの制限
私たちのモバイルアプリケーションだけがAPIを通じてサーバーにリクエストを送信できるように制限する方法はありますか?したがって、サーバーが他のクライアントからの要求を受け入れないようにするのが最善です。おそらく、証明書を使用してそれを行うことは可能でしょうか?
モバイルアプリケーションを開発するため、REST API(サーバークライアント)が用意されています。クライアントによるREST APIアクセスの制限
私たちのモバイルアプリケーションだけがAPIを通じてサーバーにリクエストを送信できるように制限する方法はありますか?したがって、サーバーが他のクライアントからの要求を受け入れないようにするのが最善です。おそらく、証明書を使用してそれを行うことは可能でしょうか?
Webサービスのユーザーエージェントをチェックインすることができます。 エージェントを使用するモバイルデバイスの場合、各デバイスのトークンを生成することができ、要求されたクライアントを識別することができます。
ユーザーエージェントは簡単に偽装されます。チェックはセキュリティを提供しません。 –
クライアント証明書を使用することができます。
もう1つのオプションは、クライアントIDとクライアントシークレットを使用することです。 クライアントシークレットを使用して、リクエスト内でクライアントIDに署名します。
クライアントクレデンシャル付与でOAuthを使用します。これは、上記のものと多かれ少なかれ類似していますが、より公式化され、標準ライブラリを使用することができます。
要求を識別するトークンを持つことができ、その後スロットルチェックを行うことができます。 – Deepak
http://stackoverflow.com/questions/7238094/securing-rest-api-without-reinventing-the-wheel – knoight