防止从不同的客户端应用调用webservice

Question

我在工作中有一个网络服务。对于该the服务，我们的部门已经开发了一个客户端来使用该the服务。

我们要防止的是，他们开发任何其他客户端来使用它。

在我们的客户端和webservice通信中，有没有可以改进的算法和实践，以验证消费客户端就是我们的应用程序？

我有一个想法，我们可以开发一个关于时间(5秒的宽限)的加密算法，必须与服务器上计算的匹配。

但我想确定的是，这方面没有最佳实践...或者如果这仍然是个好主意..。

(对不起，我的英语不好)

Answer 1

我认为web服务(例如，基于SOAP或REST )的部分意义在于发布一个接口，让您的服务潜在地被各种客户端实现所使用(互操作性是web服务的动机之一)。

如果你想锁定你的服务以供你的客户端使用，将它作为"web服务“的唯一好处可能是你实现它所使用的工具和库。您可能想要考虑这是否值得(确实是可能的)。

如果您分发客户端应用程序，则可以确保来自该客户端的请求的任何保护机制都必须嵌入该客户端。因此，您嵌入的任何秘密机制可能只会被混淆到一定程度，但更高级的用户是可以破解的。

Answer 2

您要查找的内容称为“身份验证”。

Answer 3

您需要应用程序身份验证。对于基于网络的应用程序和服务，可以尝试两条腿的OAuth。在OAuth中，你为访问你的服务的每个客户端应用程序提供一个id和一个秘密，并且为了额外的安全性，每条消息都被签名。