如何确保服务器只接受来自移动应用程序的请求

最近Firebase发布了一个名为 Firebase App Check 请看一下。这可能会解决你的问题陈述。

https://firebase.google.com/docs/app-check

你的问题是你的移动应用程序是一个“公共客户端”。这意味着它不能安全地存储任何可以向node.js API标识自己的秘密。这就是API关键方法无效的原因;攻击者可以从设备上的应用程序中提取它。

最好的办法是忘记设备的身份,使用用户的身份。让他们进行身份验证并使用 他们的 身份以确认他们是否被允许使用API。这就是OAuth/OIDC的用武之地。OAuth允许一个服务(在本例中为移动应用程序)代表用户访问另一个服务的资源(API)。OIDC是OAuth之上的一个简单的身份验证协议,允许您对用户进行身份验证。

为此,您首先需要找到OIDC提供商。如果合适的话,你可以在你的用户可能已经有身份的地方使用一个,例如谷歌或脸书,这样他们就可以用现有的帐户登录。或者,您可以使用AWS Cognito等服务设置自己的帐户,您的用户可以在其中注册新帐户。然后是您的应用程序->API调用将执行如下操作:

1. 应用程序启动与OIDC提供商的身份验证流程,将用户引导到OIDC提供商身份验证页面。
2. 用户进行身份验证后,OIDC服务将重定向回应用程序,并提供一些详细信息,以便应用程序从OIDC服务获取访问/id令牌。
3. 应用程序使用OIDC服务的令牌向API发出请求。
4. API验证从应用程序接收的令牌是否有效并允许访问。

这些步骤被简化了;向您选择的OIDC提供商咨询如何使用PKCE实现OIDC。

最后,应用程序和API之间需要SSL,或者更准确地说现在需要TLS,否则攻击者将能够看到应用程序和API之间的数据和令牌。