我有兩個應用程序Android和iOS通信到一個後端Node.js服務器。有沒有辦法只允許來自這些應用程序的請求?像某種API密鑰方法?我試圖考慮僅從這些應用程序過濾請求的方式,但我想我被卡住了。只允許來自移動應用程序的請求到Node.js服務器?
我們確實擁有身份驗證令牌系統的登錄名,但是阻止用戶採用相同令牌並濫用外部應用程序的請求?
我在考慮加密所有來自移動應用程序的請求,並以相同的方式在後端解密,但擔心需要大量計算。什麼是阻止用戶使用相同的加密請求並濫用它?
我想我正在尋找的是一些很好的安全實踐,可以防止這種濫用,而不會對後端的效率造成太多障礙。
使用基本認證或維護authtocken –