验证/签署对我的 API 的请求来自我的应用程序并且没有被欺骗（React Native）

Posted 2023-02-23

【中文标题】验证/签署对我的 API 的请求来自我的应用程序并且没有被欺骗（React Native）

【英文标题】：Verifying/signing that a request to my API came from my app and was not spoofed (React Native)

【发布时间】：2019-11-04 08:15:08

【问题描述】：

是否可以验证对我的服务器的 API 调用来自我的应用程序，并且没有被其他 HTTP 请求客户端或类似客户端欺骗？我在后端使用带有 Node 的 React Native，并且正在使用 JWT 系统进行身份验证。

上下文：某些功能仅对应用检测到位于特定位置的用户解锁。我能想到的唯一解锁这些功能的系统非常薄弱 - 前端向服务器发送带有用户位置的请求，如果位置合适，则解锁功能。显然，这个请求很容易被欺骗，除非我可以以某种应用程序独有的方式对它们进行签名，并且难以进行逆向工程。

任何其他方法将不胜感激（例如，从发送请求的 IP 地址检测用户的位置？）

【参考方案1】：

您可以使用您组织的签名证书。

【讨论】：

嘿 Komara - 任何人都可以手动将 "sentFrom": "app" 添加到 HTTP 请求中，因此这无济于事。我会对任何难以伪造的安全签名证书方法感兴趣。在前端隐藏密钥可能不会奏效，因为它可以被发现。