問題描述

只能在app內(nèi)進(jìn)行調(diào)用，不能在web端調(diào)用。

我好像聽說有這個(gè)東西。我用的是spring mvc框架，不知道怎么實(shí)現(xiàn)這樣的功能。。

問題解答

只能說做到部分禁止。

在app里調(diào)用之前設(shè)置一個(gè)特殊的User Agent，比如“My own app”，在程序開始檢查瀏覽器發(fā)過來的User Agent，如果不是“My own app”，則直接報(bào)錯(cuò)。

但是如果遇到高手，他們可以任意偽造User Agent，他們只要一攔截你的App和你的服務(wù)器之間的通訊，就能知道你使用了什么樣的User Agent，然后在瀏覽器里偽造一個(gè)跟你要求的一模一樣的字符串就行了。

獲取當(dāng)前時(shí)間然后加鹽加密，通過url或者ua發(fā)送到服務(wù)器解析，解析出來與服務(wù)器時(shí)間對比，超過1分鐘的都扔掉。這樣別人就算偽造了ua，也只能用1分鐘，然后再去偽造新的ua。

https客戶端認(rèn)證

如果使用http接口的話,不妨加一層認(rèn)證邏輯;或者使用非http接口,這樣web端就無法調(diào)用了

終級方案就是@markov 說得開啟服務(wù)端https的雙向認(rèn)證。簡單點(diǎn)，也可以app生成校驗(yàn)碼做為http header傳給服務(wù)器，服務(wù)端拿到校驗(yàn)碼解密后校驗(yàn)。