【发布时间】:2017-12-05 08:06:36
【问题描述】:
我有一个与安全相关的问题 - 我正在开发一个应用程序,该应用程序通过在远程服务器上使用 PHP 脚本来填充其数据库。我不想公开 PHP 脚本,而只是在特定的移动应用程序中使用它(使用 Ionic 框架使用 TypeScript 编写)。我怎么能做到这一点?
【问题讨论】:
标签: php security ionic-framework
【发布时间】:2017-12-05 08:06:36
【问题描述】:
让您的移动应用程序为查询提供某种秘密字符串/令牌。如果没有从请求中提供有效令牌,您的服务器端 PHP 脚本将无法继续。
令牌可以是您的 POST/GET/HTTP 标头的一部分。
【讨论】:
我过去为实现这样的目标所做的是设置 API 密钥系统。您在服务器端生成 API 密钥,并将生成的有效密钥出租给应用程序。然后,您将在应用程序中使用该密钥,每当您从移动应用程序调用脚本时,该密钥就会被发送到服务器并由 php 脚本进行解析。如果密钥有效,则请求有效。
需要考虑一些安全注意事项,即如果有人获得了您的 API 密钥会发生什么?您是否记录了远程 IP(和完全限定的域名)和 API 使用情况,您的系统是否能够在必要时使密钥无效? API 请求是否使用 TLS 连接?
【讨论】: