使用SSL进行竞赛的安全点事务处理

Question

我在网上比赛中工作。我们使用使用SSL与服务器通信的本地应用程序。我们通过第三方服务生成用户令牌，这些服务需要与请求一起在标头中传递。

因此，当用户使用SSL和令牌将新的本地游戏结果从他/她的手机发送到服务器时，我们如何确保这一点？我们需要更多的东西来确保黑客不能向服务器发送多个点请求。

• 我们能为事务生成特殊的令牌吗？
• 只要客户端通过SSL发送请求，是否有可能对黑客隐藏信息？

Answer 1

我们能为事务生成特殊的令牌吗？

你可以，但攻击者也可以。

只要客户端通过SSL发送请求，是否有可能对黑客隐藏信息？

不是的。通常，解决该问题的方法是将敏感代码和数据放在您控制的服务器上，而不是攻击者控制的计算机上。这意味着玩家必须远程播放，以防止攻击者掌握代码和数据。

因此，当用户使用SSL和令牌将新的本地游戏结果从他/她的手机发送到服务器时，我们如何确保这一点？

多样化可能会有帮助。也就是说，当服务器接收到{Token，Point Request}时，不要提供点，而是让服务器监视播放机，以确保有一个正在取得预期进展的交互式播放器。也就是说，将简单的boolean事件{Token，Point }转换为决策的聚合。