php – 检查对服务器的请求是否由离子应用程序生成

现在我们有一个Ionic项目,几乎完成后附带一个php后端.为了使后端更安全,以防止来自现场的影响,我们希望只能从离子项目(本机应用程序)中访问后端.我试图通过域限制它,但因为本机应用程序没有一个不会起作用的域.

我无法显示任何代码,因为我对如何处理这个问题绝对毫无头绪.

提前致谢

最佳答案

we would like to make the backend only accessible from within the ionic project (native app).

鉴于逆向工程的存在以及DRM的无用性,绝对值为what you’re asking for is, strictly speaking, not possible.任何人都可以使用您的应用程序,分析其代码/行为(通常使用免费提供的工具),并编写与您的服务器通信的自己的应用程序.

To make the backend a little bit more secure against influences from outsite

鉴于上述情况不可能,您的威胁模型是什么?您试图防范哪些攻击?您应该假设客户端是恶意的并验证服务器端的所有输入.如果您这样做,那么您不必担心有人使用您的本机应用程序与服务器通信.

请考虑本文中的工作流程,Building Secure Web Applications in PHP.

点赞