我正在研究一个cordova应用程序,但我有点担心安全性
我使用自制的api将数据输入到我的应用程序中,但基本上任何人都可以向其发送请求,从而访问我的数据。起初我在应用程序中有一个基于deviceID和静态盐键的令牌生成器,但由于cordova应用程序非常容易进行逆向工程,我不得不想出其他的东西。
我的想法是从服务器生成temporairy令牌并将其放入会话存储中,但我不知道这是否安全。
思考?
答案 0 :(得分:0)
配合,存放的位置不是问题,如何确定您的请求是您需要考虑的事情,您需要在用户登录后向其发送临时指南,guid可以是cookie中的sessionId,它将在在某个时间,使用仅限http的cookie进行身份验证是很常见的,因此用户无法自行修改其临时cookie。
PS:你永远不能阻止人们对你的应用进行逆向工程,你应该寻找一个能够保护传输敏感数据的架构师。此外,如果需要,您也可以对会话ID进行加密。
检查一下:http://blog.codinghorror.com/protecting-your-cookies-httponly/