我想创建一个iOS应用程序,我开始使用node.js + mongodb + express设计api。我知道人们可以使用查尔斯设置代理,当用户在iphone设备中打开应用程序时,他们可以在查尔斯应用程序中看到api请求。所以人们可以使用这个api来对应用服务造成一些伤害或者什么。我想确保我的api。我不会向别人敞开心扉。所以,我不需要oauth。我还能做些什么来保护我的api?如果提供任何教程,那将是好的。
答案 0 :(得分:0)
使用https执行此操作,只需确保在证书无效时您的应用停止运行。
替代: 在使用全局密码(不推荐)或手机上的公钥以及应用程序上的私钥发送/接收之前加密/解密您的http(s)-body。
如果有人获得了pw或公钥,他们仍然可以操纵API。
答案 1 :(得分:0)
您要做的是使用具有额外安全性的https。
首先:在app“pin”服务器证书中,即验证应用程序中的服务器证书,这种情况现在非常普遍。 AFNetworking支持这一点。
第二步:将证书添加到应用程序并在服务器上进行验证。现在,服务器知道它与您的应用程序进行通信。
现在,服务器和应用程序都确保他们与经过身份验证的端点进行通信。