IB
Но ведь ничто не мешает вынуть сертификат из приложения и засунуть в левый клиент.
Можно еще искусствено всячески усложнять api, обфусцировать чтобы по максимуму затруднить раскопки. Но, кажется что при желании все можно расковырять.
Size: a a a
2019 December 28
IB
Единственны гарантированный сопосб — это изузать взаимодействие с API и банить тех кто использвет API так как это невозможно из приложения.
AP
У нас тут дискуссия с разработчиками приложений. Бэкэнд слабый, усилить его пока нет возможности. Я им рекомендовал уменьшить количество запросов, чтобы клиент не тормозил. Говорю, если, не дай бог, будет наплыв левых клиентов, то их приложения встанут раком. Они говорят, давай разрешим запросы только нашим приложениям. Я пытаюсь объяснить, что в общем случае это невозможно, поскольку все клиенты анонимные. Да и возни много, не стоит на это тратить время. Они не верят.
Я ничего хорошего не нагуглил, вот и спрашиваю.
Я ничего хорошего не нагуглил, вот и спрашиваю.
AP
Я решал такой вопрос либо signed cookie, либо сессией которую генерил при аутентификации
Нет аутентификации, всё анонимные.
AP
Единственны гарантированный сопосб — это изузать взаимодействие с API и банить тех кто использвет API так как это невозможно из приложения.
Вот я про это тоже думал.
AP
Это и проще, и надёжнее.
TZ
можно делать ограничение к-ва запросов по ip.. (на бэке)
IB
"что в общем случае это невозможно," — в общем случае. скорее всгео это невозможно, что обычно можно добавить что-нить дурацкое и это отсечет большинство левых пользователей (это не избавит от тех кто серьезно подошел к вопросу, но может быть это и не нужно). Например в user agent добавлять хеш от дня недели в utc
AP
"что в общем случае это невозможно," — в общем случае. скорее всгео это невозможно, что обычно можно добавить что-нить дурацкое и это отсечет большинство левых пользователей (это не избавит от тех кто серьезно подошел к вопросу, но может быть это и не нужно). Например в user agent добавлять хеш от дня недели в utc
Ну, защита от дурака, конечно же, есть.
AP
В общем, будем изучать паттерны.
S
У меня дурацкий вопрос, но всё же задам.
Есть мобильное приложение, которое ходит на бэкэнд за данными. На бэкэнде работает Perl и возвращает красивый JSON.
Как можно научить бэкэнд распознавать, что запросы приходят от приложения, а не от левого клиента?
Есть мобильное приложение, которое ходит на бэкэнд за данными. На бэкэнде работает Perl и возвращает красивый JSON.
Как можно научить бэкэнд распознавать, что запросы приходят от приложения, а не от левого клиента?
Вы не ситимобил делаете там?)
AP
:) Нет, мы для души.
VG
и даже без зарплаты?
VT
У меня дурацкий вопрос, но всё же задам.
Есть мобильное приложение, которое ходит на бэкэнд за данными. На бэкэнде работает Perl и возвращает красивый JSON.
Как можно научить бэкэнд распознавать, что запросы приходят от приложения, а не от левого клиента?
Есть мобильное приложение, которое ходит на бэкэнд за данными. На бэкэнде работает Perl и возвращает красивый JSON.
Как можно научить бэкэнд распознавать, что запросы приходят от приложения, а не от левого клиента?
If it runs, it can be cracked
AP
и даже без зарплаты?
Без. :)
На работе часто приходится идти на сделку с совестью, а тут идея была сделать так, чтобы и внутри, и снаружи было хорошо.
На работе часто приходится идти на сделку с совестью, а тут идея была сделать так, чтобы и внутри, и снаружи было хорошо.
AP
У нас тут дискуссия с разработчиками приложений. Бэкэнд слабый, усилить его пока нет возможности. Я им рекомендовал уменьшить количество запросов, чтобы клиент не тормозил. Говорю, если, не дай бог, будет наплыв левых клиентов, то их приложения встанут раком. Они говорят, давай разрешим запросы только нашим приложениям. Я пытаюсь объяснить, что в общем случае это невозможно, поскольку все клиенты анонимные. Да и возни много, не стоит на это тратить время. Они не верят.
Я ничего хорошего не нагуглил, вот и спрашиваю.
Я ничего хорошего не нагуглил, вот и спрашиваю.
Разнести домены не вариант?
AP
Это как?
AP
Для приложений сделать отдельный урл
AP
И как это поможет?
AP
"разработчики приложений" — это свои люди или зловреды какие-то, кто расхакивает апи? если свои, то можно им выдать просто другой урл. если "зловреды", то, да, в случае анонимов не отделить будет мух от котлет. вернее, можно отделить по набору признаков специально тренированной нейронной сетью.