我正在构建和iPhone应用程序,它将向我的应用程序请求在服务器上运行。我正在使用REST来构建服务器的应用程序API。保护从iPhone到服务器的请求的最佳方法是什么,反之亦然。 OAuth是一个不错的选择吗?你会推荐什么?
谢谢!
答案 0 :(得分:2)
如果是您控制的服务器,请使用SSL / TLS连接进行手机与服务器之间的所有通信。确保电话应用程序代码检查服务器的证书(例如,检查它是否是您的域名的证书,您的域名被硬编码到源代码中)。这将防止数据在传输过程中遭到窃听,中间人攻击,消息伪造和其他攻击。
答案 1 :(得分:1)
如果没有关于应用安全需求的更多信息,没有任何方法可以回答“什么是最好的”这个问题。
通常,您应该考虑身份验证,授权和传输。
身份验证可以像用户名/密码登录一样简单。这可以是简单的身份验证,OAuth,kerberos等。它旨在识别用户。授权处理哪些组或个人可以访问哪些服务。您需要一种授予和维护权限的方法。最后,保护传输通常意味着使用加密服务,例如HTTPS over SSL。这可以防止数据在传输过程中被截获或更改。
还有许多其他考虑因素需要考虑,包括如何保护您的个人身份信息,加密等,但同样,没有一个适合所有人的解决方案可以推荐。