А
Привет, кто то знает можно ли сделать безопасный http запрос с client на сервер, что б запрос нельзя было повторить сторонним ПО?
Возможно https, http - сам по себе не безопасен
Size: a a a
2020 June 02
ДБ
тут вопрос не в перехвате, понятное дело что будет https
просто хочу понять мне строить бек полностью не доверяя запросам по API и все перепроверять, или всё таки есть способ быть уверенным что запрос прислал мой код
просто хочу понять мне строить бек полностью не доверяя запросам по API и все перепроверять, или всё таки есть способ быть уверенным что запрос прислал мой код
A
тут вопрос не в перехвате, понятное дело что будет https
просто хочу понять мне строить бек полностью не доверяя запросам по API и все перепроверять, или всё таки есть способ быть уверенным что запрос прислал мой код
просто хочу понять мне строить бек полностью не доверяя запросам по API и все перепроверять, или всё таки есть способ быть уверенным что запрос прислал мой код
ну, аутентификация и авторизация, вот это всё. никак иначе
А
Да, проверять надо всегда
ДБ
а жаль
А
Неплохо было бы генеривать уникальный id девайса и отталкиваться от него
ДБ
та мне от него толку особо не много.
приложение качают все желалющие
приложение качают все желалющие
ДБ
то-есть мне нет смысла доверять какому-то deviceid
мне нужно доверять именно моему коду ))
мне нужно доверять именно моему коду ))
А
Тут нужна связка креды и id устройства
А
Что бы если кто-то перехватил запрос, то id будет другой
А
Id можно запоминать при регистрации
ДБ
так он перехватил запрос, возьмет и вставит его в запрос
ДБ
точно такой же запрос отправит
А
Ну для этого добпвляется временная метка, а сам id хешируется
А
Можно брать хеш id + дата
ДБ
я открою код, возьму deviceId и в другом ПО успешно сгенерю такой же запрос
I
да эта проблема не решена, там не все так просто