Как зашифровать api вызов, чтобы клиент не смог его прочитать?

Question

[skippetr]

Есть клиент-серверное приложение. Есть один api метод (скажем https://example.com/api/test?q=123), который отправляется клиентом, но только тогда, когда соблюдены некоторые условия. Например, какой-то любознательный хацкер изучит этот метод и будет слать такой api запрос, когда условия на клиенте не соблюдены. Можно ли как-то зашифровать этот запрос, чтобы на сервере можно было проверить его валидность и в то же время клиент мог сформировать этот запрос только при соблюдении условий?
Не знаю на сколько понятно описал, я честно старался.

Answer 1

[Rsa97]

А что помешает хакеру изучить метод шифрования и зашифровать свой запрос?
Всё, что присылает клиент, должно проверяться на сервере, в том числе и условия допустимости запроса.

Comments

[skippetr]

ничего не мешает, я это понимаю
просто я хз, может я проспустил какую-то супер секурную технологию на волне всяких блокчейнов и проч.

сервер то проверяет, но все же..

спасибо за ответ

[Алексей Скобкин]

skippetr, А ничего другого, кроме контроля состояния на сервере и нельзя сделать.

Answer 2

[Александр Таратин]

Общайтесь с сервером по самописному бинарному протоколу завернув это все дело в websoket

Answer 3

[Алексей Медведев]

Сделай систему токенов, привязанных к клиенту определенному. Самое просто решение валидации запроса за 5 минут:
1) Придумываешь секретное слово
2) Хэшируешь его и запрос из клиента:

$keyword = 'шифровочка';
$q = '123';
$hash = md5($keyword.$q); //089580e98caf60967d356e5cc3b32046

3) Шлешь запрос: https://example.com/api/test?q=123&hash=089580e98c...
4) Сверяешь его на сервере по такому же слову и если все ОК - пропускаешь

if(md5($keyword.$_GET['q']) == $_GET['hash']) echo 'OK';

Это все очень грубо, есть куча готовых решений и алгоритмов. Можешь посмотреть пример OAuth.

Comments

[skippetr]

Опять таки это усложнит конечно задачу, но хацкер дизассемблирует клиент -> поймет как строится хэш -> не профит (для меня)

Но о таком решении думал конечно

спасибо

[Алексей Медведев]

Вместо md5 можно использовать AES шифрование. Это более надежно, при том что одноразовый код можно генерировать постоянно новый

Answer 4

[Алексей Скобкин]

Клиент - в руках врага.
Вы ничего не можете сделать с этим. Всё, что вам остаётся - контролировать состояние на стороне сервера и уже там проверять, соблюдены ли условия. На стороне же клиента все эти проверки можете считать валидацией для удобства пользователя - не более.
Никакое шифрование вам не поможет (это не значит, что API должно работать по открытому HTTP, само собой).