Cześć, tworzę po godzinach apkę dla firmy. Jest to backend + apka w reakcie + mobilny android. Myślałem o zabezpieczeniu przez JWT, ale przecież nie będzie to wystawione w google play. Apka ma być zainstalowana tylko na 2 PC i 2 mobilkach. Backend stoi na VPS.
Jakieś lepsze pomysły na zabezpieczenie tego ?
Dlaczego nie JWT?
Możesz z palca wystawić na sztywno cztery tokeny lifetime i mieć to z głowy.
Ale co konkretnie chcesz zabezpieczyć? Bo skoro apka działa online, łączy się z serwerem (zakładam, że ten VPS jest Twój), to jeśli chodzi o licencje, można sprawdzanie zrobić po stronie serwera, po prostu sprawdzać ilość licencji danego usera oraz czas, na jaki zostały wykupione. Chyba, że chodzi Ci o zabezpieczenie przed czymś innym, ale w takim razie musisz napisać jaśniej, czego się konkretnie boisz.
Skoro masz część serwerową to nie ma sensu zabezpieczać apki mobilnej. Szczególnie jeśli to ty kontrolujesz serwer.
Na google play jest mnóstwo skompilowanych apek biznesowych, które działają tylko jak masz dostęp serwów.
Dlatego tak czy siak apkę wystawiłbym na Google Play jako darmową, by instalacja nie była upierdliwa dla klienta.
Z twojego punktu widzenia utrzymywanie upgrade-ów też będzie dużo prostsze.
No dobra, a jak zabezpieczyć to, że jakiś random ściągnie apkę i zacznie uderzać do restów i narobi przypału ? Generalnie nie potrzebuję w niej żadnych userów. Apka będzie konfigurowalna pod firmę. Chcę żeby apka po prostu została wgrana na konkretnie urządzenia w firmie, skonfgurowana (odpowiedni serwer, koniguracja db, szata na froncie) i żeby tylko dostęp był z tych kilku urządzeń.
Przy pierwszym odpaleniu apki pobierz od użytkownika klucz, który będzie dołączany do wszystkich requestów. Backend będzie odrzucał requesty z niepoprawnym kluczem. Od biedy można ten klucz nawet na sztywno trzymać w configu backendu.
Okej, co sądzicie o tym sposobie autoryzacji i autentykacji:
https://medium.com/@ard333/authentication-and-authorization-using-jwt-on-spring-webflux-29b81f813e78
Jest ok ? Nada się ?