我创建了这个Web应用程序,我创建了这个API.为了这个例子,让我们保持简单：

我的应用程序需要知道用户拥有多少“信用”.
api有一个调用get_credits返回{credits：1000}

现在,我如何阻止某人使用主机文件(或其他方法)来创建自己的api,返回{credits：2000}.

我正在考虑插入某种哈希,但由于它是javascript,哈希很容易从源中提取.我猜也是一样的握手.

那么,我如何使api足够安全？

最佳答案 你必须以不同的方式去做,才能有一个非常安全的应用程序.您永远不应该信任最终用户的应用程序,因为用户或黑客可能会修改代码.

所以我建议在服务器上保留所有购买等.因为我现在对你的系统不太了解,所以我无法帮助你.

如果对于服务器生成散列的每个项目,这个散列可以允许用户向其他用户显示他真正购买了该项目,那将是好的.

请注意,此哈希必须长而强大且独特,因为否则用户可能会强制使用它们.

我希望你理解我和我的答案可以帮助你;-)