Мобильная версияЯ работаю над приложением Android в React-native, и приложение взаимодействует с API, над которым я работаю. API создан на основе Laravel и Laravel Passport.
Я знаю, что приложения Android можно декомпилировать, поэтому любые секретные ключи, хранящиеся в приложении, можно легко найти. В этом причина моего нынешнего подхода.
Код доступа можно получить только во время регистрации. Приложение использует анонимные учетные записи, поэтому, если вы потеряете токен доступа, это очень плохо. Приложение отправляет запрос API к /api/register, который создает учетную запись и возвращает токен доступа. Приложение будет хранить токен и использовать его для дальнейших запросов API.
Проблема в том, что маршрут регистрации не использует никаких секретов клиента или токенов доступа. Очень легко автоматизировать запросы к маршруту и создать армию ботов. Потенциально я мог бы ограничить количество запросов, как это делают многие поставщики API, но это не решит проблему.
Я слышал о хешировании полезной нагрузки, но для этого обычно требуется соль, которая есть и в приложении, и в API. Опять же, это небезопасно, и не может ли кто-нибудь просто хешировать это самостоятельно, если знает причину спам-запросов? Возможно, я неправильно понимаю, как работают хэши полезной нагрузки.
Надеюсь, кто-нибудь сможет помочь.
Как я могу предотвратить использование ботов и спам-запросов API? ⇐ Android
Форум для тех, кто программирует под Android
-
Anonymous
1775971631
Anonymous
Я работаю над приложением Android в React-native, и приложение взаимодействует с API, над которым я работаю. API создан на основе Laravel и Laravel Passport.
Я знаю, что приложения Android можно декомпилировать, поэтому любые секретные ключи, хранящиеся в приложении, можно легко найти. В этом причина моего нынешнего подхода.
Код доступа можно получить только во время регистрации. Приложение использует анонимные учетные записи, поэтому, если вы потеряете токен доступа, это очень плохо. Приложение отправляет запрос API к /api/register, который создает учетную запись и возвращает токен доступа. Приложение будет хранить токен и использовать его для дальнейших запросов API.
Проблема в том, что маршрут регистрации не использует никаких секретов клиента или токенов доступа. Очень легко автоматизировать запросы к маршруту и создать армию ботов. Потенциально я мог бы ограничить количество запросов, как это делают многие поставщики API, но это не решит проблему.
Я слышал о хешировании полезной нагрузки, но для этого обычно требуется соль, которая есть и в приложении, и в API. Опять же, это небезопасно, и не может ли кто-нибудь просто хешировать это самостоятельно, если знает причину спам-запросов? Возможно, я неправильно понимаю, как работают хэши полезной нагрузки.
Надеюсь, кто-нибудь сможет помочь.
Ответить
1 сообщение
• Страница 1 из 1
Перейти
- Кемерово-IT
- ↳ Javascript
- ↳ C#
- ↳ JAVA
- ↳ Elasticsearch aggregation
- ↳ Python
- ↳ Php
- ↳ Android
- ↳ Html
- ↳ Jquery
- ↳ C++
- ↳ IOS
- ↳ CSS
- ↳ Excel
- ↳ Linux
- ↳ Apache
- ↳ MySql
- Детский мир
- Для души
- ↳ Музыкальные инструменты даром
- ↳ Печатная продукция даром
- Внешняя красота и здоровье
- ↳ Одежда и обувь для взрослых даром
- ↳ Товары для здоровья
- ↳ Физкультура и спорт
- Техника - даром!
- ↳ Автомобилистам
- ↳ Компьютерная техника
- ↳ Плиты: газовые и электрические
- ↳ Холодильники
- ↳ Стиральные машины
- ↳ Телевизоры
- ↳ Телефоны, смартфоны, плашеты
- ↳ Швейные машинки
- ↳ Прочая электроника и техника
- ↳ Фототехника
- Ремонт и интерьер
- ↳ Стройматериалы, инструмент
- ↳ Мебель и предметы интерьера даром
- ↳ Cантехника
- Другие темы
- ↳ Разное даром
- ↳ Давай меняться!
- ↳ Отдам\возьму за копеечку
- ↳ Работа и подработка в Кемерове
- ↳ Давай с тобой поговорим...
