唯一标识iOS / Android设备,以允许用户撤消对该设备上应用程序实例的使用

时间:2019-02-16 17:26:31

标签: android ios firebase security certificate-pinning

在iOS / Android设备上安装了提供电子投票等敏感功能的应用,并设置了个人资料。如果用户丢失了设备,我们如何识别该设备以防止在当前状态下使用该应用程序。

从本质上讲,将服务器标识符与设备标识符相关联(希望允许用户撤销对被盗/丢失设备的访问权限)。

银行提供此服务,以撤消设备访问银行帐户的权限,直到用户再次登录(或不登录)。

正在探索的选项:

  1. 在应用程序中包含证书,因此,在用户注册/登录后,请下载该用户唯一的另一证书并存储在Keystore或Keychain中。该证书适用于所有后续请求。用户撤销了设备许可,我们只是使证书无效。

  2. 访问令牌和Firebase设备令牌的组合可标识每个设备。它随每个请求一起发送。用户撤销设备,使每个设备的组合及其复用无效。

  3. Android:IMEI,但是如果不是所有设备上都可用,则会出现问题。有根电话的问题,是否可以操纵。在iOS上,使用设备检查api知道验证设备状态。

可能的问题:

  1. 似乎最安全,但也需要大量工作。

  2. 似乎可行,但不确定Firebase如何更改其设备令牌策略。

  3. 似乎可行,但不确定对于每种用例是否肯定有效。

这些选项中的任何一个是否合适,并且使用和维护最省力?请提出其他方法以及每种方法可能存在的进一步缺陷。

0 个答案:

没有答案