我有以下问题: 我已经了解了如何在iPhone应用程序和WebServer(SSL,Https)之间创建安全登录。 我的问题是在创建会话令牌之后,如何确保如果黑客拦截它,在后续的POST请求中我从同一个用户接收数据?
我问这个是因为每次请求正确时我都必须发送会话令牌吗? (以便能够识别用户)。
我想防止多件事:
我一直在看:
我可以很容易地跟踪我所看到的Cookie并查看其中的数据。
也许我不是在这里问正确的问题所以它实际上是如何确保我收到的数据来自正确的用户和正确的应用程序?
答案 0 :(得分:1)
围绕POST请求的SSL的目的是防止传输中的第三方拦截。如果黑客可以访问它,则意味着令牌泄露在客户端(root设备),服务器(不安全的应用程序日志记录/调试)或他们破坏了SSL。 (不可能)
您可以通过捕获设备UDID(苹果不喜欢这样)或与源IP进行比较来执行一些高级检查,但是对于可疑的安全性改进来说,这将是一项很大的努力。
确保所有敏感信息都在SSL中,您应该没问题。