如何证明请求来自真实的 iOS 或 Android 设备?
问题描述 投票:0回答:2
我正在构建一个向服务器发出 HTTP 请求的应用程序。我想知道请求来自从 iOS App Store 或 Android App Store 下载的应用程序。有什么办法可以做到这一点吗?
也许手机上的某种 API 允许与某个证书颁发机构进行签名,而该证书颁发机构本身是由 Apple 的根证书颁发机构签名的?或者与Android类似的东西?
或者也许有某种方法可以使用像 this 这样的“广告标识符”,但不会与 this 发生冲突……Android 有类似的东西吗?
我需要这个主要是为了防止女巫攻击(人们在不购买一百万部 iPhone 的情况下创建数百万个帐户)。
但也许更重要的是,我希望应用程序在服务器上建立一个帐户,而不是让一些小丑向同一服务器发送请求来随意覆盖用户的“udid”,这样应用程序以后就无法连接。我想我可以通过在网络浏览器的浏览器选项卡下保存 cookie 或 localStorage 来防止后一种情况,并希望它不会被清除。
2个回答
投票
回答我自己的问题:这称为证明。
在 iOS 上,在 Swift 和 Objective C 中,它称为 DCAppAttestService:
https://developer.apple.com/documentation/devicecheck/builting-your-app-s-integrity
Google 有 SafetyNet 证明 API,但他们正在弃用它:
https://developer.android.com/privacy-and-security/safetynet/deprecation-timeline
在网络上,有时您还可以使用网络身份验证证明,但它们用于身份验证器,可能是也可能不是手机本身。无论如何,它确实保证了稀缺性:
https://developer.mozilla.org/en-US/docs/Web/API/Web_Authentication_API/Attestation_and_Assertion
投票
您可能想尝试设置请求标头来识别代理,
您可以设置
User-Agent: iOSUser-Agent: Androidapplication-typex-application-key:38567940-b045-4b37-9999-d6c3b960af9e
application-type:iPhone
key-state:VALID
Content-Type:application/json
Accept-Language:en_US
x-type-mdm:ENABLE
User-Agent: iOS
最新问题
- 使文件不起作用?
- 我应该使用#include <file.h>还是“file.h”?
- 如何安装特定的nextjs版本?
- 如何在 Pandas DataFrame 中使用 inside / in 运算符? [重复]
- 为什么元素在悬停/活动时会坐立不安?
- Pandas 相当于 R 运算符“%in%”
- 使用 printf 时,来自 fgets 的字符串数据会丢失
- 在 C++ 中使用线程中向量的引用来解除分配运行时问题
- 检查多个数组中的值是否相等
- 无法在Python和Selenium中获取HTML中元素的值
- Typescript 方法的声明中是否有 async 关键字有什么区别
- 是否可以以某种方式混合静态和动态循环调度?
- 更改 MYSQL UPDATE 的数据类型,以解决错误 1292 WHERE 上的截断错误双值在 VARCHAR(45) 上失败
- 无法查看 Pimcore 中文件夹下的所有对象。发生通讯故障
- springdoc-openapi-webflux-ui 与 java.time.Duration 的问题(ISO 8601 持续时间格式)
- 等待httpClient.SendAsync(httpContent)没有响应
- 使用干净的架构和存储库/工作单元来构建具有 ASP.NET Identity 的应用程序
- 使用 dplyr 计算数据框中行的子集总和
- 如何使用 DirectX 9 渲染 2D 叠加
- 如何有条件地应用“csproj”文件中的“<HintPath>”元素?