問題描述

只能在app內(nèi)進行調(diào)用，不能在web端調(diào)用。

我好像聽說有這個東西。我用的是spring mvc框架，不知道怎么實現(xiàn)這樣的功能。。

問題解答

只能說做到部分禁止。

在app里調(diào)用之前設(shè)置一個特殊的User Agent，比如“My own app”，在程序開始檢查瀏覽器發(fā)過來的User Agent，如果不是“My own app”，則直接報錯。

但是如果遇到高手，他們可以任意偽造User Agent，他們只要一攔截你的App和你的服務(wù)器之間的通訊，就能知道你使用了什么樣的User Agent，然后在瀏覽器里偽造一個跟你要求的一模一樣的字符串就行了。

獲取當前時間然后加鹽加密，通過url或者ua發(fā)送到服務(wù)器解析，解析出來與服務(wù)器時間對比，超過1分鐘的都扔掉。這樣別人就算偽造了ua，也只能用1分鐘，然后再去偽造新的ua。

https客戶端認證

如果使用http接口的話,不妨加一層認證邏輯;或者使用非http接口,這樣web端就無法調(diào)用了

終級方案就是@markov 說得開啟服務(wù)端https的雙向認證。簡單點，也可以app生成校驗碼做為http header傳給服務(wù)器，服務(wù)端拿到校驗碼解密后校驗。