Như đã nói trước đây, không có khả năng bảo mật 100%. Nhưng có một số giải pháp kết hợp với nhau mang lại sự bảo mật tuyệt vời.
Https
Như bạn đã chỉ ra, đây là một phần quan trọng, vì nó ngăn cản việc đánh hơi.
Phiên
Sử dụng phiên và không cho phép bất kỳ yêu cầu nào mà không có phiên hợp lệ (ngoại trừ phiên đầu tiên, phải xác thực ứng dụng).
Vân tay
Kiểm tra tác nhân người dùng và đặt các tiêu đề http bổ sung, để nhận một dấu vân tay duy nhất cho ứng dụng của bạn. (Vẫn có người có thể đánh hơi được, nhưng anh ta cần sử dụng cuộn tóc hoặc tương tự.)
Làm xáo trộn các yêu cầu
Xây dựng chuỗi truy vấn của bạn và áp dụng một hàm băm. Máy chủ cần thực hiện chức năng đảo ngược. ? 43adbf764Fz thay vì? A =1 &b =2
Mã hóa
Điều này tiến xa hơn một bước. Sử dụng bí mật được chia sẻ để tính toán một hàm băm. Trên máy chủ lặp lại tương tự. Điều này đã được bảo mật mạnh mẽ. Để phá vỡ, người ta cần thiết kế ngược lại ứng dụng của bạn.
Sử dụng bí mật được chia sẻ duy nhất
Bạn nói rằng nó là một ứng dụng dành cho iOS. Sau khi cài đặt, một mã thông báo duy nhất được tạo bởi iOS. Yêu cầu ứng dụng của bạn đăng ký mã thông báo này với máy chủ của bạn. Như thế này, bạn có một bí mật được chia sẻ mạnh mẽ duy nhất cho mỗi cài đặt và sẽ không có cách nào để hack ứng dụng web của bạn.
