Por lo general, la validación de la aplicación cliente no se realiza, porque es un poco complicado hacerlo correctamente y no ofrece muchos beneficios con solo verificar al usuario . (El servidor debe construirse asumiendo que no se puede confiar en los clientes). La verificación del usuario generalmente se realiza con credenciales de nombre de usuario / contraseña (o autenticación de dos factores para mayor seguridad). Ese proceso de autenticación, cuando tiene éxito, a menudo devuelve una clave de sesión que se puede utilizar para el resto de esa sesión. Suponiendo que toda la comunicación se realiza a través de SSL, a menudo es suficiente incluir la clave de sesión como un valor de encabezado especial en futuras solicitudes, o como parte de un par de autenticación básico (junto con la ID de usuario).
Hay esquemas más avanzados como SRP (para evitar transferir la contraseña del usuario a través del cable) y solicitar la firma, que puede proteger contra ciertos ataques, pero generalmente son excesivos.
- ¿Por qué no hay una aplicación para revisar propietarios?
- ¿Cuáles son algunos criterios para evaluar antes de desarrollar una aplicación móvil para un producto web?
- ¿Por qué Mutterfly es un modelo basado en aplicaciones?
- ¿Los concesionarios de automóviles necesitan sus propias aplicaciones móviles?
- Cómo construir una aplicación web