スマホアプリからアクセスするAPIのセキュリティ対策について

ユーザがログインを必要としない情報アプリがあります。

このアプリ内の情報を自身のサーバから取得しようと考えていますが、
どこからでもアクセスできるようにしておく事は良くないと思います。

ユーザがログインするタイプのアプリであれば、
そのユーザごとの認証と合わせて、OAuth2でもSAMLでもすれば良いかな
と考えますが、

今回、ユーザの認証は行わないため、アプリからのアクセスであるとどのように判断して
不正なアクセスを防ぐべきか、実装方法が全く思い浮かびません。

何か、一般的な（良い方法を）ご存知の方おられましたら教えてください。
よろしくお願いいたします。

退会済みユーザー

2019/02/28 17:47

正規アクセスの定義はどう考えていますか？

2019/03/01 01:00

webや、curlなどからのアクセスは禁止したいと考えています

退会済みユーザー

2019/03/01 01:11

禁止したい方ではなくて、通したいのはなんですか？

2019/03/01 07:03

通したいのは、アプリからのリクエストのみです。

退会済みユーザー

2019/03/01 14:52

どうやって、アプリからのリクエストを特定するの？

行動規範の内容に同意します

回答1件

ベストアンサー

クライアント証明書をアプリに内蔵するとかどうでしょう？
もしくはAPI側に認証をかけて、ID/PWはアプリにハードコードするとか？

投稿2019/02/28 17:08

総合スコア2534

2019/03/01 01:01

クライアント証明書とは、どのような認証方式になりますでしょうか？具体的に何か思いつくものありましたら教えていただけないでしょうか。

2019/03/01 03:19

SSL証明書の一種で、サーバ証明書がサーバの身分証であるのに対し、クライアント証明書はクライアント側(アクセスする側)の身分証です。いくらでも解説されているサイトがあるので、詳しくはググってください。

行動規範の内容に同意します

あなたの回答

tips

プレビュー

行動規範の内容に同意します

質問の解決につながる回答をしましょう。サンプルコードなど、より具体的な説明があると質問者の理解の助けになります。また、読む側のことを考えた、分かりやすい文章を心がけましょう。

15分調べてもわからないことは
teratailで質問しよう！

ただいまの回答率
85.48%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

関連した質問