Как защитить Rest API от использования третьими лицами?

Question

German Zvonchuk @inside22

Как защитить Rest API от использования третьими лицами?

Друзья,

есть Rest API которое используется в мобильных приложении iOS и Android.

Данное API работает без авторизации пользователя.

Задача состоит в том, чтобы защитить API от использования его вне мобильного приложения. Чтобы ни кто не забирал данные прямиком из API.

Какие есть варианты?

Генерировать на сервере и в мобильном приложении OTP-код и в мобильном приложении подписывать им все запросы к API?

Я понимаю что на все 100% защитить API от использования вне приложений невозможно, моя задача чуть-чуть усложнить этот процесс, чтобы при помощи сниффера (charles) не могли узнать адреса и использовать их.

Вопрос задан более трёх лет назад
5163 просмотра

Комментировать

Подписаться 14 Средний Комментировать

Answer 1 · 2018-04-13 21:31:32

https с pinned серверным сертификатом и аутентификация клиента по клиентскому сертификату.

тогда сниффер уже не поможет и придётся расковыривать саму софтину. разумеется, если будет надо кому - выковыряют без проблем.

Как защитить Rest API от использования третьими лицами?

Войдите на сайт