我们正在开发Rails中的JSON REST API以供我们也在开发的Android应用程序使用。有没有什么方法来保护API,使其只能被我们特定的Android应用程序使用?保护REST API以供Android客户端使用
API是只读的,不涉及任何类型的用户相关或其他敏感信息。但是在合理的范围内,我们希望防止滥用并将其限制仅限于我们的应用。
我可以轻松地添加认证令牌的API并与应用分发,但:
- 我们很可能需要在移动API到SSL,如果我们使用基本身份验证。
- 对于一个坚定的人来说,打开Android APK二进制文件并揭示auth令牌可能是微不足道的。
这种情况看起来类似于在商店柜台上张贴他们的WiFi密码的咖啡馆 - 你必须把秘密传递给每个想要使用你的服务的人,所以几乎没有意义把它放在第一位。
什么是最合理的方法?