所以,我的公司有一个iPhone应用程序。我们正在将API发布到我们的服务器,我们需要验证客户端应用程序(不是用户,我们想知道这是否是它声称的iPhone应用程序)。
我希望能够做的是让应用程序在Apple应用商店中向我们的服务器发送应用程序的公钥,作为其初始请求的一部分。然后,我希望我们的服务器能够向Apple商店询问“这个公钥是我认为的应用程序的关键吗?”如果是,那么我们会为所有其他请求发出有效令牌,如果不是 - 退回请求。
我意识到这种方法可能会被欺骗(因为有人可以从Jailbroken手机中找到公钥并伪装成应用程序),但是对于应用程序的初始版本,我们并不关心,因为我们想要人使用该应用程序。之后,我们希望对来自合作伙伴(有权使用上述方法发送请求的合作伙伴)的API请求进行归因,但目前无需签署或真正授权请求(有2或3条腿oAuth)。< / p>
所以,简单地说 - o有没有办法让iPhone应用程序向iOS询问用于签署应用程序的公钥? o服务器或其他程序是否有办法向Apple商店询问“这个公钥是我认为的应用程序的关键吗?”
我实际上是在尝试将Apple商店用作身份验证机构。我知道:它们已经存在,必须由Apple签署并批准,但我需要服务器请求时间验证。
提前致谢。
答案 0 :(得分:1)
为什么不创建自己的密钥并将其存储在应用程序中?然后将该密钥与所有请求一起传递给API。
您可以将此方法与传递应用版本结合使用。如果不再支持应用程序密钥,或者允许您阻止过期版本的应用程序,此方法将允许您限制对API的访问。