iPhone - Web访问身份验证

时间:2010-03-14 05:39:08

标签: iphone authentication passwords uniqueidentifier

我正在为我们的执行官构建一个安全的应用程序...这是我的设置。这是一种有点Macgyver的方法,但请耐心等待:)。

  1. 只有10个用户,我在数据库表中的后端有每个uniqueIdentifier的记录。 (这仅供我们的用户使用,因此我不相信我违反了API文档中提到的公共用户注册规则)
  2. 通过adhoc发布我在所有10台设备上安装我的应用
  3. 我的应用程序只是由UIWebView组成。
  4. 当应用启动时,它会向我们的https网站发送POST,发送uniqueIdentifier。 (感谢this answer
  5. 收到POST的服务器页面,检查uniqueIdentifier,如果找到则设置会话cookie,自动将其记录到站点中。
  6. 这样,用户每次都不必输入凭据。

    7. 那么你怎么看?这有什么安全漏洞吗?

    由于

1 个答案:

答案 0 :(得分:2)

由于您在应用程序中存储了所有唯一ID,每个ID都是解锁访问权限的凭据,因此我需要做的就是窃取员工的一部电话,或者获取应用程序的副本以查找这些密钥。

如果您需要在手机上存储凭据,请使用iPhone's Keychain

相关问题
最新问题