Как можно проверить на бэкенде, что данные идут от мобильного приложения?
Добрый день!
Ситуация такая - есть мобильное приложение, которые посылает какие-то данные на сервер-бэкенд, допустим по http.
Скажите, пожалуйста, есть ли какие-нибудь способы проверять на бэкенде, что данные действительно присылает приложение, а не злоумышленник эмулирует эти запросы с помощью, например, curl?
Думал о том, что можно данные отсылать по https, тогда их нельзя было перехватить просто дампом, чтобы понять структуру. Однако это ведь не спасёт от декомпиляции.
Что остается? Обфускация? Или есть какие-то другие пути?
Скорее всего, никак. Потому что https обычно достаточно легко обходится, хотя и может попортить кровь при граммотной реализации, а обсфуркация усложняет жизнь не на порядок. В крайнем случае никто не мешает запустить приложение в эмуляторе.
В такой ситиуации единственным правильным решением является проверка приходящих данных с точки зрения логики работы. Можно, если очень хочется, пытаться собирать какие-то данные с телефона и на их основании пытаться идентифицироать клиента, как настоящего.
HTTPS с проверкой фингерпринта сертификата сервера и с двухсторонней авторизацией хорошо усложнит жизнь аналитику. Классика, как обфускация программного кода, разные приемы антиотладки. Если работаете с GPS, то хотя бы проверяйте откуда приходят данные. Хороший способ - перенести логику работы на сервер, однако пользователи будут крайне недовольны таким подходом.
