我正在构建一个需要与PHP API通信的iPhone应用程序。它将通过POST发送其数据。并不是说我有任何敏感数据问题,但我很好奇我如何确保POST来自:app;或者设备;或者至少是iPhone。
杰克沃顿对这个答案的回答谈到了一个已知的呼叫和响应模式"如果有其他方法,我会使用该方法:How to ensure/determine that a post is coming from an specific application running on an iPhone/iTouch?我不需要SSL或其他任何东西,但我会在可能的情况下实施低技术保护措施。
答案 0 :(得分:0)
您可以使用您发送的令牌字符串,只有您的应用程序知道并在服务器上验证它,但您应该使用SSH,这样任何人都无法嗅探您的令牌。
修改
所以我的第一个答案有点瑕疵。您可以尝试的另一件事是通过使用HMAC使用某个密钥对要发送的数据进行编码来创建签名,并使用您的请求在标头中发送签名。然后在服务器上使用您的密钥再次签名数据并确保它们匹配。我认为这仍然应该与SSL结合使用,但我认为它可以让您合理地保证数据来自您的应用。没有SSL,就有可能有人进行重播攻击。