我正在研究可以在我的服务器和iOS应用之间使用的API。我有一个SQL数据库,其中包含一个Accounts表,其中包含一个名为BALANCE的列。
人们可以通过PayPal向我的网站存款,或者我会允许他们汇款。问题是,当PayPal SDK检查以确保它是合法存款时,它会归功于用户帐户余额。当我收到汇票时,我会通过我的网站记入余额。
每次记入余额时,都会调用我的API。问题是,我可以一遍又一遍地做到这一点,而无需实际获得PayPal存款或汇票存款。
请参阅,用户将在每个其他帐户之间转移余额。所以我不需要任何帮助来确保存款合法,我已经知道了。现在,一个简单的API调用会将一个余额转移到另一个帐户,而无需证明该调用是出于正当理由。我不希望能够让人们以某种方式利用API并以某种方式归功于他们自己的平衡。它需要是人们无法改变它的地方。
那么我可以采取哪些措施让人们不仅可以利用我的API并在没有实际汇款的情况下获得余额?由于这是真金白银,我在安全方面投入了大量时间。