我正在开发一个使用GAE作为后端的iOS应用程序。我的应用程序将转移到GAE的唯一敏感数据是登录详细信息,传输的任何其他内容都不敏感。我打算将SSL用于所有事情,这对我来说是最明智的 - 有什么理由不这样做吗?此外,我想要一些方法来确保我的应用程序是我的GAE系统可以访问的唯一方式(即没有人从网络访问它/欺骗客户端看起来像我的)我该如何解决这个问题?我读了一些关于公钥和私钥的内容,但不确定它是否相关?
非常感谢任何帮助 谢谢!
答案 0 :(得分:0)
对你上一个问题的简短回答:你不能。您无法强制执行仅通过IOS应用程序访问您的应用程序。 你可以尽可能地努力,但你无法保证。正确的方法不是依赖于您的IOS应用程序 验证数据发送,但要在您的gae应用中进行此验证(如果需要:再次)。 无论如何,SSL是一件好事 - 如果正确完成(参见:http://www2.dcsec.uni-hannover.de/files/android/p50-fahl.pdf) 但如果发送的唯一敏感数据是密码,您可以考虑使用类似SRP的东西(从这里开始阅读:http://en.wikipedia.org/wiki/Secure_Remote_Password_protocol)