我正在管理一个依赖于Web服务来提供目录访问的iPhone应用程序的开发。我现在的主要安全问题是有人访问我的网络服务并复制/抓取我的整个目录(现在,它不包含任何专有的 - 但这会改变)。
简而言之,我需要限制对我的iPhone应用程序的Web服务访问。虽然该应用程序处于测试阶段,但我可以轻松获取iPhone设备ID并将其限制为仅限5位开发人员。但是当应用程序上线时,我不想(并且不确定我可以合法地)收集设备ID以进行身份验证。
我尝试通过用户 - 客户端字符串限制访问 - 但这可能是欺骗性的。
我的下一步是某种共享密码短语 - 但同样,这可以被嗅探。
还有其他想法吗?
TIA,
盖
答案 0 :(得分:5)
最终,这将归结为身份验证。我认为你将不得不使用安全通信 - 即某种价值的基于证书的加密,只有iphone应用程序才能使用。
如果Auth可以被欺骗,那么你没有任何保护措施。
此问题中有一些信息:Best Security Framework to secure and authenticate an iPhone app which uses REST?或此处
http://www.flowmessenger.com/blog/2009/11/10/iphone-and-secure-restful-authentication.html
答案 1 :(得分:1)
我已经构建了一个类似的解决方案,并通过服务器上的https访问和用户名密码身份验证来解决安全问题,以访问API / Web服务。
我相信一旦实施HTTPS,您可以更自如地使用设备ID或其他具有更高置信度的内容进行限制