我开始使用HTML5和Phonegap开发iOS应用程序。
我在这里有一个关于安全性的问题。由于iOS应用程序无法运行PHP代码,因此人们使用REST apis与服务器进行通信,以便从数据库中获取数据等。或者我错了吗?
无论如何,这怎么可能安全?例如,有人可以从应用程序中提取代码,并可以访问API调用。这怎么可能安全?我不是在寻找代码片段,我想知道用什么方法来保护它?截至目前,我所拥有的只是用于防止CSRF攻击的令牌等。
提前致谢!
答案 0 :(得分:1)
您可以使用休息服务,但这并不意味着您可以访问该服务。您必须处理会话但不包括明确的密码等,除非您通过提示用户连接到后端,使用Oath对会话进行身份验证并将其存储在钥匙串中。您可以强制用户在会话到期时重新插入信息,并且可以在用户每次访问应用程序时检查该信息。 如果你反编译应用程序或只是解压缩应用程序,可以访问html代码,但区别在于“你如何管理连接”。显然,正如Ive告诉你的那样,如果你使用静态信息(使用.plist文件或其他),你的应用程序将非常低效且容易破解。我的建议是学习如何使用iOS中的钥匙串,NSURLCredential,OAuth和Cookie管理。