我正在构建一个iOS应用程序,它将与一组.NET WebServices进行通信。我正在尝试找到一种方法来确保在WS方面发送的调用实际上来自iOS应用程序。
当然,还有一种需要用户名/密码组合的“登录”方法。我想为此方法添加一个“安全令牌”,我可以用它来验证请求是来自iOS应用程序。
由于这是登录方法的参数,因此在发生有效登录之前,必须是应用程序和Web服务已知的内容。另外,对于另一个假冒的应用来说,这应该是不可能的(困难?)。
这种交换是他们的最佳做法/标准方法吗?我是否以正确的方式思考问题?
提前致谢!
答案 0 :(得分:0)
看一下oAuth规范(由Twitter使用),它要求首先验证用户,在交换过程中交换一系列令牌,然后在后续数据交换期间使用令牌对数据进行签名。 / p>
它适用于公钥/私钥匹配密钥的主体,因此您有一个始终保密的密钥。