Hallo Rolf,

die Absender-IP hilft Dir nichts. Bekommst Du von der App irgendwelche HTTP Header mit (wenn es denn eine HTTP Kommunikation ist), die eine Identifikation ermöglichen könnten?

Es ist eine HTTP Kommunikation und ich erhalte ein $_FILES Array. IP nützt nichts, das ist klar.

Aber die Antwort lautet in solchen Fällen eigentlich User Authentication. Der User muss eine User-ID und ein Kennwort haben und nur damit ist der Upload möglich. Die App muss diese authentisierte Übertragung dann natürlich unterstützen, und das Anwendungsdesign muss so sein, dass ein Sharing von User-IDs nicht im Interesse der Anwender liegt.

Klar, das ist alles natürlich gegeben. Aber es ist ein 2-stufiges System. Nicht jeder mit ID und Passwort darf auch per App uploaden. Ok, der App-Hersteller bietet mir zwar an, ihm eine Kundenliste zu geben, damit er entsprechende Anfragen dann an mich weiterleitet. Nützt aber nichts, da er darüber hinaus auch an Endkunden verkauft.

Identifikation via Geräte-ID ist aus meiner Sicht nicht so toll. Du musst bei Dir die Geräte-IDs, die berechtigt sind, verwalten. Was ist bei Geräte-Defekt? Was ist, wenn der Anwender die App auf 2 Geräten nutzen will? Das ist viel Verwaltungsaufwand. Und wer hindert einen schlauen Menschen, den Netzwerkverkehr zu sniffen und dann einen Fake-Request mit einer gefälschten ID zu senden?

Ja, ich kenne die Nachteile der Geräte-ID. Aber mir fällt derzeit nichts Sinnvolleres ein. Ich würde jedenfalls ganz gerne verhindern, dass die App, die bei mir in einer Gesamtinfrastruktur eingebunden ist und hierauf kalkuliert lizensiert ist, daneben auch unlizensiert diese Infrastruktur nutzen kann. Also würde ich gerne die lizensierten von den unlizensierten (sofern es sie gibt) unterscheiden können.

Pit

sumpsi - posui - clusi