我的移动应用正在使用基于HTTP的API,且端点不难确定,例如https://<domain>/api/config
或https://<domain>/api/login
。
因此,某人可以在该应用程序中创建一个帐户,然后使用某些进行请求的桌面应用程序(“流氓客户端”)中的凭据将请求发送到/api/login
,然后在使用我的承载身份验证方案“登录”后,转到其他端点,查看从那里发送了什么数据。
这种尝试有可能使人们窥探一些关于其他用户的敏感数据,这些数据仅应由应用内部访问。
在确保我的后端API发送的任何数据只能由该应用访问的情况下,一种可以提高我的应用安全性的既定方法是什么?
Here是JWT的最佳用法。