限制/保护特定移动应用程序使用的 Google Appengine servlet（REST 服务提供商）

发布于 2024-11-10 06:47:06 字数 800 浏览 0 评论 0原文

通过仅允许来自特定应用程序的 iOS 或 Android 设备的请求来保护 REST 服务提供程序（假设在 google appengine 上运行的 java servlet）的最佳解决方案是什么？

假设我有一个在 google appengine 上运行的 servlet，它执行一些处理并使用一些 JSON 数据响应 GET 请求。我想限制对在 Android 和 iOS 上运行的应用程序的访问。

我当前的解决方案是：

使用 if(tokenValue == request.getHeader(tokenKey)) 上应用程序引擎 servlet。和 response.addHeader(tokenKey, tokenValue) 在移动应用程序上代码。所以基本上只有我的应用程序会知道令牌密钥。
对于上述解决方案，appengine，请使用 HTTP(s)支持此
使用 oAuth - 但我需要让用户签名-on 到某个 oAuth 提供商应用程序，这使应用程序变得复杂

建议其他有用的方法来解决这个问题。假设此 servlet 仅服务 GET 请求，并且可能使用 Restlet 或 Jackson

原文

分享到QQ

分享到微博

如果你对这篇内容有疑问，欢迎到本站社区发帖提问参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。

发布评论

需要登录才能够评论，你可以免费注册一个本站的账号。

神经大条 2024-11-17 06:47:06

如果安全性对您来说很重要，那么只有 3 个才是合适的解决方案。这是因为使用该应用程序的任何人都可以拦截流量并仅针对您的 Web 服务重放这些值。 SSL 提供了一些保护，但优秀的攻击者可以在控制设备的情况下找出如何捕获数据的方法。使用 OAuth，攻击者造成的损害仅限于单个用户（只要他们不是应用程序管理员）。

回复收藏 0 原文