spring - java怎么寫一個接口只讓app調(diào)用?
問題描述
只能在app內(nèi)進行調(diào)用,不能在web端調(diào)用。
我好像聽說有這個東西。我用的是spring mvc框架,不知道怎么實現(xiàn)這樣的功能。。
問題解答
回答1:只能說做到部分禁止。
在app里調(diào)用之前設(shè)置一個特殊的User Agent,比如“My own app”,在程序開始檢查瀏覽器發(fā)過來的User Agent,如果不是“My own app”,則直接報錯。
但是如果遇到高手,他們可以任意偽造User Agent,他們只要一攔截你的App和你的服務(wù)器之間的通訊,就能知道你使用了什么樣的User Agent,然后在瀏覽器里偽造一個跟你要求的一模一樣的字符串就行了。
回答2:獲取當(dāng)前時間然后加鹽加密,通過url或者ua發(fā)送到服務(wù)器解析,解析出來與服務(wù)器時間對比,超過1分鐘的都扔掉。這樣別人就算偽造了ua,也只能用1分鐘,然后再去偽造新的ua。
回答3:https客戶端認(rèn)證
回答4:如果使用http接口的話,不妨加一層認(rèn)證邏輯;或者使用非http接口,這樣web端就無法調(diào)用了
回答5:終級方案就是@markov 說得開啟服務(wù)端https的雙向認(rèn)證。簡單點,也可以app生成校驗碼做為http header傳給服務(wù)器,服務(wù)端拿到校驗碼解密后校驗。
相關(guān)文章:
1. docker-compose中volumes的問題2. mysql 一個sql 返回多個總數(shù)3. CSS3 畫如下圖形4. 在mac下出現(xiàn)了兩個docker環(huán)境5. 如何用筆記本上的apache做微信開發(fā)的服務(wù)器6. angular.js - ionic2 瀏覽器跨域問題7. javascript - 螞蟻金服里的react Modal方法,是怎么把元素插入到頁面最后的8. android - rxjava merge 返回Object對象數(shù)據(jù)如何緩存9. docker 下面創(chuàng)建的IMAGE 他們的 ID 一樣?這個是怎么回事????10. python - Scrapy存在內(nèi)存泄漏的問題。
