【问题标题】:How to secure REST API when Adobe AIR is used on client's side在客户端使用 Adobe AIR 时如何保护 REST API
【发布时间】:2014-04-18 13:30:48
【问题描述】:
我用 PHP 创建了一个简单的 REST API。客户端是用 Adobe Air 编写的移动应用程序。每当我开发 API 时,我都会使用 HTTPS 和一些基本标头,例如 X-Api-Secret,这是双方都同意的秘密。
但 Adobe Air 无法在 GET 请求中发送自定义标头。
来自Adobe Air documation:
由于浏览器限制,自定义 HTTP 请求标头仅
支持 POST 请求,不支持 GET 请求。
移动应用程序是否应该将密钥作为 GET 参数发送?还是有更好的解决方案?
【问题讨论】:
标签:
actionscript-3
rest
air
【解决方案1】:
在 GET 请求中将您的密钥作为特殊参数发送是可以的。仅仅因为您将数据作为 POST 请求中的标头发送,它不会使事情变得更加安全。大多数 API 将接受 GET 参数中的应用程序密钥(ex-trello)。
如果您不想让其他任何人找到某个极其机密的内容,那么您无论如何都不想将其存储在移动应用程序中,因为反编译该应用程序的人将能够找到它。