J'ai créé cette application web et j'ai créé cette API. Par souci de cet exemple, gardons les choses simples:empêcher API "spoofing" ou "piratage"
Mon application a besoin de connaître le nombre de "crédits" dont dispose l'utilisateur. L'API a un appel get_credits qui renvoie {credits: 1000}
Maintenant, comment puis-je empêcher quelqu'un d'utiliser un fichier hôte (ou une autre méthode) pour créer sa propre API qui renvoie {credits: 2000}.
Je pensais à insérer un hachage quelconque, mais comme il s'agit d'un javascript, le hachage est facilement extrait de la source. C'est la même chose pour une poignée de main, je suppose. Alors, comment sécuriser l'API?
L'application Web est contrôlée par vous? Ou l'API? Ou les deux? Comment un utilisateur peut-il influencer l'API utilisée par votre application Web? – bdares
Merci les gars, je sais que je ne peux pas faire confiance à l'application ou l'utilisateur, mais j'espérais qu'il y avait un moyen que je n'avais pas encore pensé. J'apprécie toutes les réactions. C'est un jeu, où le montant des crédits détermine le contenu disponible, donc je dois faire confiance à l'application pour déterminer l'authenticité du crédit. Je vais essayer d'utiliser un peu d'obfuscation et un peu de contrainte pour au moins le rendre aussi difficile que possible :) Merci! – nizzle