php - 如何确保仅由授权的应用程序调用PHP脚本？

假设我在服务器上有一个名为process.php的PHP脚本。我想从iOS / Android应用程序调用脚本。我想让没有应用程序的情况下无法调用脚本，例如从计算机上调用它。我怎样才能使此验证过程安全且不可破解？

我曾想过的一些事情:

使用类似于密码的静态密钥来解锁脚本。这不是一个很好的方法，因为一旦您的密钥被黑客入侵(也许是反向工程，该密钥存储在您的应用程序中)，他们就可以完全访问您的脚本。

创建一个哈希函数，并执行以下步骤:

向服务器发出请求，并获取字符串

哈希本地设备上的字符串

将散列的字符串发送回

如果服务器收到的字符串与服务器期望的字符串相同(请求发送的请求已在服务器上散列)，则我解锁了脚本
这样，只有拥有哈希功能，您才能获得访问权限。这足够安全吗？

没有用户的登录凭据，我还有哪些其他选择？

最佳答案

如果您担心的话，可以创建一个API密钥并使用HTTPS并将其附加到POST请求中的url上。仅确认包含密钥的请求。