Ciao,
ho un sistema client - server e ho implementato delle API.
Ora il mio scopo è quello di renderle accessibili solamente dalla mia app.
Ho letto JSON Web Token, ma ho un dubbio. Chiunque utilizza l'API di login per accedere, avrà il token per poi fare le altre richieste.
La mia idea era quella di utilizzare una chiave sul client e una sul server.
Sul client cifro i parametri da inviare, in un certo ordine, e li cifro con la chiave del client.
Sul server faccio l'operazione inversa. Il problema però è che chiunque faccia il reverse dell'app può capire come la chiave venga generata.
Quindi sarei costretto ogni tot ad aggiornare questa chiave, con il problema che se non tutti poi aggiornano l'app, non funziona niente più.
Avete dei consigli in merito?
ho un sistema client - server e ho implementato delle API.
Ora il mio scopo è quello di renderle accessibili solamente dalla mia app.
Ho letto JSON Web Token, ma ho un dubbio. Chiunque utilizza l'API di login per accedere, avrà il token per poi fare le altre richieste.
La mia idea era quella di utilizzare una chiave sul client e una sul server.
Sul client cifro i parametri da inviare, in un certo ordine, e li cifro con la chiave del client.
Sul server faccio l'operazione inversa. Il problema però è che chiunque faccia il reverse dell'app può capire come la chiave venga generata.
Quindi sarei costretto ogni tot ad aggiornare questa chiave, con il problema che se non tutti poi aggiornano l'app, non funziona niente più.
Avete dei consigli in merito?