Безопасный обмен данными между моб приложением и бэкендом?

Question

[Иван]

1) Как обычно моб приложение обменивается данными с бэкендом, чтобы избежать эмуляции запроса?
2) Если вместе с запросом пересылать sha256(данные_запроса+соль) т е хэш от данных_запроса+соль, а на бэкенде проверять, это хорошее решение?
Хэш естественно тоже отсылается на бэкенд.
Нужно максимально снизить возможность подделки запроса.
Данные шифровать не нужно.
Авторизации в приложении нет.

Comments

[Макс]

Что значит "избежать эмуляции запроса"?
Любой запрос можно выполнить из терминала/postman-a/чего угодно.

[Иван]

Цель, достичь максимального уровня понимания, что запрос отправлен приложением, а не хацкером)

[SagePtr]

Иван, никак, хацкер может дизассемблировать приложение и определить логику, по которой подписываются запросы, и воспроизвести её в будущем. Можно, конечно, усложнить ему работу, если размазать логику подписи по разным местам приложения, в надежде, что он плюнет и забросит затею, но если ему нужно, то это его не остановит.

[Данил Тунев]

Взаимная аутентификация? Каким образом твой сервер сможет проверить подлинность клиента?

Answer 1

[Кирилл Миновский]

1) юзать ssl, чтобы трафик не могли проснифать
2) но если я не ошибаюсь, даже с ssl как-то можно узнать, какие именно данные отправляются серверу, и получится отправлять свои запросы. С этим особо ничего не поделаешь, максимум - ограничивать количество запросов для одного клиента

Answer 2

[Denis Kiselev]

Уже был правильный ответ - никак. С технической точки зрения клиент не будет делать взаимной аутентификации с сервером. Да, поднимут прокси и разберут протокол.

могу предложить иное решение вопроса: если нужно избавится от "неофициальных" клиентов своего сервиса, то за счёт контроля и над "официальным" клиентов и сервером можно синхронно выкатывать обновления, меняющие протокол взаимодействия неким образом, который потребует повторного реверса протокола. Понятно, что реверс сделают - но это же хлопоты, работа и время. В это время неофициальные клиенты "отвалятся" от сервера - что побудит пользователей этих клиентов перейти на работающее официальное приложение.

Количество апдейтов протокола взаимодействия клиента и сервера - не ограничено. Можно развлекаться каждую неделю, меняя полностью URL схему сервера - пусть авторы неоригинального приложения бегут за паровозом. Высока вероятность - что устанут. Или устанут их клиенты))