Django：只接受来自我的应用程序的请求

Question

是否可以只接受来自我的应用程序的请求？例如，我有一个名为“Best App”的 iOS 应用程序，它使用 Django 作为其后端。我怎样才能做到只接受来自 Best App 的请求而拒绝其他所有请求？

我正在考虑检查请求中的“HTTP_USER_AGENT”键，如果 HTTP_USER_AGENT 是“最佳应用程序”，我将允许请求通过。但我最近发现，任何人都可以通过 Chrome 等应用程序修改其 USER_AGENT 并请求访问我们的资源。

还有其他方法可以限制对我的特定应用程序的访问吗？我想通过授予白名单访问权限来向其他开发人员开放我的后端服务。但是现在，我想保持对我们后端的私有访问。

非常感谢您对此事的建议和见解。

Answer 1

良好的应用程序安全解决方案并非易事。您不能使用任何简单的纯文本对象，例如 HTTP_USER_AGENT。一种常见的方法是“API 密钥”——从注册页面获得的密钥与请求一起提供，但除非您将其与其他一些“秘密”结合起来，否则它可以被“假”轻松复制和提供应用程序。

一个相当强大的解决方案是使用共享密钥的某种形式的挑战/响应。从理论上讲，一个坚定的攻击者可以从您的应用程序中提取您的秘密并使用它，但这需要付出合理的努力——首先他们需要解密您的应用程序包，然后提取秘密。流程类似于 -

1. 应用向 Web 服务发送身份验证请求，提供 API 密钥。
2. Web 服务查找 API 密钥以确定“共享密钥”
3. Web 服务将质询字符串发送回应用程序
4. 应用程序使用共享密钥对质询字符串进行哈希处理并将其发送回 Web 服务
5. Web 服务应用相同的哈希并比较答案
6. 如果哈希比较，Web 服务将会话密钥返回给应用程序
7. 应用在所有后续请求中发送会话密钥
8. 在某些时候，您需要使会话密钥无效 - 应用注销、超时、请求数

要保护这种方法免受中间人攻击，您需要通过 SSL 运行它并确保您的应用验证服务器证书。

您还应该针对暴力尝试实施某种形式的保护，例如在“x”个挑战失败后锁定 API 密钥