клиентского приложения (Android, Windows, Linux, не важно...) с API?
Как можно защитить API, чтобы его могли использовать только наши клиентские приложения?
И как это клиентское приложение сможет доказать API, что оно "своё"?
На этапе разработки в приложении вшивается рандомная строка, передаваемая в заголовке каждого запроса. На бэке эта строка записывается в .env, вешается мидлваря и если во входящем запросе нет заголовка или он не совпадает - кидается ошибка.
Но, ведь можно отследить что и куда приложение шлёт
Обсуждают сегодня