我正在开发一个Phonegap应用程序,它通过API从我的服务器请求数据。现在,当然,我希望只有我的应用可以请求此数据,而不是其他所有域名。所以我做了http basic auth。
这意味着我现在拥有应用随API请求一起发送的用户和密码。用户和密码都在我的javascript中,但由于Phonegap将其转换为本机应用程序,因此源代码不易访问。
不是那么容易......但是:
由于Cordova应用程序是从HTML和JavaScript资产构建的 在本机容器中打包,你不应该考虑你的 代码是安全的。可以对Cordova进行逆向工程 应用
http://docs.phonegap.com/en/4.0.0/guide_appdev_security_index.md.html
有没有办法提出安全请求,或者这对Phonegap来说是不可能的?
答案 0 :(得分:0)
您可以使用hmac key-hashed function通过传递消息,用户的密码令牌和utc日期时间来创建密钥。此密钥将附加到每个请求标头。现在服务将在它的一边做同样的事情,它应该返回相同的密钥。这将确保消息在任何时候都没有被篡改。