可以说我有一个iOS应用,用户必须通过Google或FB或其他方式进行身份验证。而且应用程序基本上应该从服务器发布并获取数据。也许通过Rest API和Google Cloud Storage或Firebase作为后端。 我已经完成了该应用程序和一个小型php脚本,以重新实现MySQL数据库中的POST / GET。大! 现在,我想通过App Store将其投入生产。我将需要一个数据库,因此我必须购买云存储。是什么使我想到了如何保护整个东西的问题?
用户必须确定诅咒:我从其他帖子中读到的HTTPS至少是必需的。它将加密数据。所以我现在还不确定100%,但是从注册过程中,我需要获取用户名。因此,该应用程序将发布用户名,并查看用户是否已注册,然后仅给出链接到该用户的数据。这是最好的方法吗?有什么我想念的吗?
有关如何实现注册的任何建议? Google或FB身份验证服务会为我提供一个我可以在我的App中使用的用户名,并将其发布到服务器并建立会话吗?
确定用户身份后,我还考虑了如何保护API?我的意思是它将在互联网上。如何确定仅通过App并通过重新注册的用户进行API调用?数据要花钱,所以只有这些用户才能经常拨打电话和偏离线路。最后一件事可能会通过业务逻辑来实现,但是如何保护它免受回复攻击呢?