我有一个将内容提供给移动应用的API,并且目前没有计划将API用于其他产品。我有两个主要问题:针对移动应用安全/身份验证的API
- 如何防止某人嗅探API请求并发出他们自己的请求(这不应该是一个公共API)。
- 如果不能完全阻止#1,那我该如何限制/限制来自未经批准的消费者的请求?这里还有其他问题吗?
对于每个请求使用auth令牌(作为GET参数传递)满足#2(我可以随时撤销它),但我不想在将来更新应用程序以使用不同的令牌。
此外,移动应用程序中没有用户身份验证,并且API是使用PHP编写的。
这方面的最佳做法是什么?