我们正在为客户开发移动应用。我们想获得一些关于如何确保应用程序和网站之间的通信的建议。我们正在构建原生的iOS& Android应用。该网站是用PHP开发的,我们计划使用Json。我们希望确保没有其他应用程序可以访问Json服务。我们计划加密JSon服务的查询字符串并传递一些访问令牌。您是否建议在以前的项目中使用过一些额外的安全功能?还请指出一些可能更详细解释的链接。我们正在考虑强制要求通过SSL调用服务但不确定服务器上的开销,是否有人在使用类似的架构之前遇到过SSL的性能问题?
答案 0 :(得分:0)
您需要让您的移动应用在您的API中进行身份验证。您可以通过几种方式使用基本授权,OAuth 1.0a甚至OAuth 2(客户端凭据流)。这将允许您使用移动应用程序获取REST服务的凭据,但不允许其他人使用。使用HTTPS将对抗中间人攻击,但确实会带来一些开销。比较HTTP与HTTPS,HTTP总是会更快,但我强烈推荐使用HTTPS。
我认为你可以在这篇文章中找到很多好的指示:
https://stormpath.com/blog/secure-your-rest-api-right-way/
和此幻灯片分享:
http://www.slideshare.net/stormpath/secure-your-rest-api-the-right-way