只允许通过应用程序访问PHP文件
我有一个PHP文件查询我的数据库,然后返回XML格式的信息回到我的应用程序。 现在,如果我只是去浏览器中的url,并在URL中input正确的参数,信息显示在我的权利。 有没有办法让PHP页面只能通过应用程序(iOS和Android)访问? 我已经search,唯一可以find的是使页面只能通过包括,但我不明白这将限制访问,如果人们想出了包含该文件的PHP页面。 任何build议表示赞赏!
谢谢
几乎所有的限制都会归结为“仅仅是应用程序将发送的请求”。
基本的方法是“保持URL的秘密”。 如果只有应用程序知道它,那么只有应用程序可以向它发出请求。 其他任何东西(密码,API密钥,自定义HTTP头,用户代理嗅探等等)都只是复杂的概念。
通过HTTPS而不是HTTP进行请求将保护秘密免受嗅探。
尽pipe如此,没有任何东西可以避免反编译
您可以在您的应用程序中添加一个自定义的http标头,并使用挑战码。 您的脚本检测标题并validation挑战。 如果validation通过,则执行脚本,否则返回403 Forbidden。
而不是。 事实上,每个人都可以在他的浏览器信息中插入错误的数据,并且不会发现这是Windows 95上的Microsoft Internet Explorer还是Android手机上的Chrome。
您可以尝试按IP号码阻止,但这不是阻止应用程序,而是阻止用户。
我唯一的想法是使用一些用户/密码login的东西,只有你的应用程序会知道,但它有自己的安全漏洞(像中间人)。