将 iOS 应用程序请求签名到服务器以防止垃圾邮件

Question

我目前有一个 iOS 应用程序，允许人们向我们的服务器提交内容（如 Twitter）。我们没有登录系统，而是依靠设备的 UDID 来唯一标识用户（是的，意识到这并不完美，但对于无需创建帐户的用户来说值得权衡）。

来自 iOS 应用程序的请求将作为 POST 请求发送到我们的服务器，并且不会以任何方式进行身份验证。

我们目前正在经历大量垃圾邮件（显然），并且正在寻找一种简单的方法来验证击中我们服务器的任何请求实际上都来自我们的应用程序 - 而不是垃圾邮件发送者编写的某些脚本。

我们尝试使用包含应用程序名称的用户代理字符串，但这很容易被欺骗。有什么方法可以验证到达我们服务器的请求是否来自我们的应用程序？

一种想法可能是包含一个随机数作为参数，然后使用一些私钥对该数字进行加密。让服务器验证加密版本与纯文本版本是否相同。 （私钥必须位于我们的服务器上并嵌入到应用程序中）。

我并不是在寻找完美的解决方案 - 易于实施的 90% 解决方案肯定是首选。

谢谢！

Answer 1

我会通过以下方式解决这个问题：获取消息，使用只有您的应用程序知道的密钥对其进行加盐，并可能添加用户名和 UUID，然后使用 SHA-1 对它们进行哈希处理。如果哈希值与数据一起出现，那么它将充当数字签名，并且您可以合理地确定该消息是真实的。

共享密钥必须与您的应用程序一起分发，因此意志坚定的攻击者将能够从您的应用程序中对其进行逆向工程，但休闲垃圾邮件发送者更有可能只是寻求更有利的条件。

另一种方法是在注册时生成 pgp 私钥/公钥对，但这需要大量工作来解决这个问题。