Koc
Новичок
Делаю API. Присобачил систему подписывания запросов как в контакте - сортируем параметры по ключу, конкатенируем их, добавляем секретный ключ и делаем md5 от этой строки. Ее добавляем как sig к query string.
Люди, которые пишут приложение говорят, что это все чепуха. Секретный ключ дескать все равно можно будет получить из андроид-приложения, дизассемблировав его.
Какие цели я преследовал, добавляя это подписывание: удостовериться, что запросы идут от определенных appId. Что бы в случае, если с одного и того ж приложения будет слишком много запросов я мог забанить именно это приложение (сначала баним юзера а уж потом приложение). Что бы можно было отслеживать посещаемость определенного приложения. В этом случае они предлагают просто слать appId.
Как быть?
Люди, которые пишут приложение говорят, что это все чепуха. Секретный ключ дескать все равно можно будет получить из андроид-приложения, дизассемблировав его.
Какие цели я преследовал, добавляя это подписывание: удостовериться, что запросы идут от определенных appId. Что бы в случае, если с одного и того ж приложения будет слишком много запросов я мог забанить именно это приложение (сначала баним юзера а уж потом приложение). Что бы можно было отслеживать посещаемость определенного приложения. В этом случае они предлагают просто слать appId.
Как быть?