REST API 和 Unity3D：服务器如何区分官方 Unity 版本发送的合法请求和恶意 cURL？

Question

--长版本--

我制作了一个超级基本的 REST API 来处理用户帐户管理（帐户创建、检查登录凭据等），我将从 Unity3D 游戏中调用它，我计划支持手机（主要是安卓）。

玩家可以上传他们使用 Unity 游戏中存在的绘图工具制作的绘图。我制作该工具的唯一目的是防止有人上传不是自己画的图画的屏幕截图，或者有人上传自拍照或色情照片（我不能允许这种可能性发生，<由于我的游戏主要针对儿童），并且这些图画可以被其他玩家公开查看。

--简短版本--

要存储上传的绘图，我将使用简单的 $_GET['base64']，但为了防止不允许的图像进入，< strong>我怎样才能确保请求来自官方的 android 版本，而不是一些 cURL 或逆向工程的 Unity 项目？

这就是整个问题。

在 WebGL 构建的情况下，我可以阻止任何不是来自 WebGL 构建所在域的 Web 请求，但在 Android 构建的情况下，据我所知，服务器无法真正告诉官方 android 版本根据 cURL 发送的某些请求发送的请求。我非常确定，只要付出一点努力，有人就能弄清楚我的 REST API 是如何工作的。我不知道如何有效地保护它。

我想要一些建议，如果您认为我当前的方法很糟糕（而且可能是），请告诉我如何改进它或用什么来替换它。

Answer 1

如果您认真防止未经授权的客户端将图像发送到您的服务器，最简单的方法就是完全忘记处理图像。

相反，我会让客户端和服务器处理输入数据。

1. 让客户端记录用户为创建绘图所做的输入（或者，如果太多，则记录一些近似输入结果的内容，例如线段序列、颜色、描边宽度、贴纸 ID 等）您的绘图系统使用）。当他们绘制图像时，将他们刚刚绘制的图像替换为系统的图像表示形式，以便他们在发送之前可以确定图像的外观。

2. 根据需要发送、接收和存储输入数据

3. 当需要绘图的外观时，回放录音以再现绘图。

例如，Jackbox 基本上就是这样做的。

使用这种方法，有人可以尝试使用您的输入数据 API 重现自拍或色情内容的模糊描述，但是如果您执行诸如限制数据大小、限制颜色保真度、限制开始分辨率和线段的末端等，这些东西的再现能力越来越小，直到变得不可行。