我们正在Rails中开发一个JSON REST API,供我们开发的Android应用程序使用。有没有办法保护API,以便它只能被我们特定的Android应用程序使用?
该API是只读的,并不涉及任何与用户相关或敏感信息等情况。但在合理范围内,我们希望防止滥用并将其限制在我们的应用程序中使用。
我可以很容易地向API添加身份验证令牌,并将其与应用程序一起分发,但:
1.如果我们使用基本身份验证,我们可能需要将API移动到SSL上。 2.对于一个决心破解的人来说,打开Android APK二进制文件并发现auth令牌可能是微不足道的。
这种情况类似于咖啡店在店柜台上张贴他们的WiFi密码-你必须向想要使用服务的每个人提供秘密,所以似乎一开始就没意义。
采取什么方法最合理?
该API是只读的,并不涉及任何与用户相关或敏感信息等情况。但在合理范围内,我们希望防止滥用并将其限制在我们的应用程序中使用。
我可以很容易地向API添加身份验证令牌,并将其与应用程序一起分发,但:
1.如果我们使用基本身份验证,我们可能需要将API移动到SSL上。 2.对于一个决心破解的人来说,打开Android APK二进制文件并发现auth令牌可能是微不足道的。
这种情况类似于咖啡店在店柜台上张贴他们的WiFi密码-你必须向想要使用服务的每个人提供秘密,所以似乎一开始就没意义。
采取什么方法最合理?