Надежная идентификация мобильного приложения на BACKEND?

Question

[Vadim Kalmykov]

Добрый день.

Планируется разработка мобильного приложения под Android со стандартной процедурой регистрации пользователя — номер телефона и его подтверждение по SMS. Во время получения запроса на регистрацию BACKEND-часть должна иметь надежный механизм проверки, что запрос отправлен из нужного приложения, а не из какого-либо альтернативного клиента.

Каким способом надежно решают вопрос идентификации приложений, например, в банковских продуктах?

Comments

[Толстый Лорри]

Никак. 100%-надежного способа нет. Все, что можно сделать - придумывать себе же геморрой, надеясь, что мошенникам будет больнее. Банковские системы всякой дичью и занимаются - гуглить по слову антифрод.

[freeExec]

Авторизовать нужно не клиент, а клиента. Какая разница в каком приложении он сидит, если платит деньги.

Answer 1

[Денис Загаевский]

Сначала нужно определить, нужен ли кому-то этот Неуловимый Джо:)
Если вдруг нужен, начать с простого - подписывать запросы ключём, лежащим внутри приложения. В лицензионном соглашении написать, что пользоваться этим можете только вы или купивший доступ за миллионы денег. Если конкуренты будут нарушать - есть официальные процедуры, как их прижать.
Если прямо сильно надо, купить защиту, что-нибудь типа https://licelus.com/ или аналогов.

Comments

[Everything_is_not_so_bad]

Интересуюсь, а возможно ли генерировать некоторый ключ/сертификат для подписывания запросов? Ну и так, чтобы сертификат нельзя было извлечь без нетривиальных действий?

[Денис Загаевский]

Роман Мирр, сгенерировать можно.
Допустим, ты это сделал на клиенте. Как теперь доказать серверу, что сгенерировал твой клиент, а не чужой?
Допустим, ты сгенерировал на сервере в ответ на запрос клиента. Как ты это сделал, если ты ещё не знаешь, что клиент твой, а не чужой?
Проблема курицы и яйца. Поэтому я предложил просто хранить сертификат, которым подписывается запрос, на устройстве, а если нужна хорошая защита - купить её.

Answer 2

[xmoonlight]

Приложение - никак не защищают: это попросту невозможно. Весь функционал клиентского приложения - это только лишь "рычаги управления" параметрами конкретной учётной записи и/или работа под этой учётной записью.

Защищают только канал обмена сетевым трафиком с помощью существующих программных крипторешений и различных методов надёжной авторизации.

Answer 3

[uvelichitel]

Банковские продукты защищают физической usb-таблеткой. Приложения яблочников и android защищают подписью упаковщика продукта, технология отлажена. Клиент-серверное взаимодействие защищается на уровне протокола: в случае http почти никак, https - сертификатом(да, клиент тоже может идентифицироваться сертификатом), при самодельном непубличном протоколе вы ограничены только своей фантазией.