如何保护与 Android 应用程序交互的 PHP JSON api 端点？

Question

如果应用程序通过 https 使用 post 方法（JSON 对象）与服务器 api 交互，则存在暴露 api 端点和任何人访问 api 的危险。 有没有办法确保从指定的应用程序仅调用 api。

我在网上做了一些研究并了解到：

一个。使用 POST 方法进行手动凭据检查

b.使用 json 网络令牌 (jwt)

但是我的问题是：这两种方法 a) 和 b) 都需要某种用户名/密码从客户端应用程序传递到服务器（在 a. 中每次都在 b. 中）。现在这个用户名/密码需要在 apk 中硬编码，任何人都可以通过反编译轻松获得它。那么这些方法如何安全呢？

Answer 1

我认为您误解了 json 网络令牌或不记名令牌的工作原理。为什么用户名和密码需要硬编码？您将为用户提供一个接受用户名和密码的界面。

在选项 a 中，您可以在用户提供凭据后将其存储在本地，并在他们退出应用程序或注销时将其清除。不建议这样做，因为这就是令牌的用途。许多框架已经为 JWT 提供了开箱即用的支持。

如果使用令牌，用户仍然提供他们的用户名和密码进行身份验证，服务器将返回一个有效的授权令牌。从那时起，每个请求都会传递身份验证令牌。

Answer 2

我会以某种方式使用 TLS 安全性……与数字证书……以加密方式保护对门户的网络访问。该应用程序将包含必要的公共证书，可能是经过混淆的，服务器可以检查该证书以确保访问是合法的。现在，没有人可以拦截通信，而且如果不先从应用程序中提取证书信息，他们就无法进行欺骗，这可能不太可能。知道请求者确实拥有必要公钥的副本应该是足够的身份验证。

虽然我们在使用 TLS 到达您的友好社区 https 网站时通常不使用它，但像 mod_ssl 这样的模块 do 提供了完整的 TLS 实现，包括能够要求并验证 客户端 安全证书，如果没有该证书，连接尝试将被拒绝。这可能是一个理想的情况。