Php 验证服务
我使用flex作为前端,希望只有该应用程序能够与我的站点/服务通信。建议一种实现方法。正如你所看到的,我主要关心的是安全问题Php 验证服务,php,iphone,android,apache-flex,Php,Iphone,Android,Apache Flex,我使用flex作为前端,希望只有该应用程序能够与我的站点/服务通信。建议一种实现方法。正如你所看到的,我主要关心的是安全问题 我的后端是php(cakephp/yii/normalphp)。我也有移动应用程序,主要是iPhone和Android,它们也需要通过我的php进行验证 您最好的选择是识别用户,而不是应用程序。如果您可以通过常规登录、cookies、会话等确定注册应用程序的用户,那么在大多数情况下,您无需担心客户端 如果这对你不起作用,通过淫秽的安全性是最好的解决方案。典型的解决方案是在
我的后端是php(cakephp/yii/normalphp)。我也有移动应用程序,主要是iPhone和Android,它们也需要通过我的php进行验证 您最好的选择是识别用户,而不是应用程序。如果您可以通过常规登录、cookies、会话等确定注册应用程序的用户,那么在大多数情况下,您无需担心客户端 如果这对你不起作用,通过淫秽的安全性是最好的解决方案。典型的解决方案是在应用程序中包含某种密钥,该密钥被发送到服务器,并可用于为每个请求创建哈希签名(例如HMAC-SHA1)。这样做的缺点是,一旦钥匙破裂,就很容易分发钥匙
一个更难破解的策略是做一些模糊的事情,如果模式不匹配,则在不通知的情况下拒绝访问。例如,始终在发送请求A后n秒发送模糊请求B,其中n是客户端的次要版本。发挥你的想象力。你最好的选择是识别用户,而不是应用程序。如果您可以通过常规登录、cookies、会话等确定注册应用程序的用户,那么在大多数情况下,您无需担心客户端 如果这对你不起作用,通过淫秽的安全性是最好的解决方案。典型的解决方案是在应用程序中包含某种密钥,该密钥被发送到服务器,并可用于为每个请求创建哈希签名(例如HMAC-SHA1)。这样做的缺点是,一旦钥匙破裂,就很容易分发钥匙 一个更难破解的策略是做一些模糊的事情,如果模式不匹配,则在不通知的情况下拒绝访问。例如,始终在发送请求A后n秒发送模糊请求B,其中n是客户端的次要版本。发挥你的想象力