【发布时间】:2021-05-13 23:45:23
【问题描述】:
我目前正在开发一些基于 rest api/signalr (C#/.Net Core) 的应用程序后端。两种协议都是开放的 - 我如何确保后端仅与授权的应用程序一起使用并阻止创建未经授权的客户端的可能性?
【问题讨论】:
标签: c# asp.net-web-api signalr
我目前正在开发一些基于 rest api/signalr (C#/.Net Core) 的应用程序后端。两种协议都是开放的 - 我如何确保后端仅与授权的应用程序一起使用并阻止创建未经授权的客户端的可能性?
【问题讨论】:
标签: c# asp.net-web-api signalr
这取决于您希望锁定对后端的访问的严重程度。但一般来说,解决信任问题并不便宜。
无论你采取什么方法,通常你想锁定多少取决于你需要投资多少。
【讨论】:
你不能。您必须始终假定客户端是敌对的,但尤其基于 HTTP 的技术更是如此。无论您尝试在客户端中提供什么证明,通常都可以由具有适当动机的恶意方提取并用于他们被黑客入侵的敌对客户端。或者更有可能:他们可以使用浏览器工具或 Fiddler 等工具来查看、操作和重播命令。
所有逻辑都必须在服务器上。如果客户端想要复制逻辑以获得更好的用户体验,那很好:但您不能相信客户端做出的任何裁决 - 服务器必须重新检查。
【讨论】: