我想知道在安全方面,当通过iOS设备访问Web服务时,是否有人在Tomcat上部署并在Amazon EC2上运行的Java Web服务经验。 REST和SOAP。
是否有可用的最佳实践或指南,关于Web服务如何验证调用者,以确保从应用程序(和用户)调用它,而应该调用它而不是来自任何其他程序?您会推荐哪些类别/组件,协议或技术? AWS Identity and Access Management是一个选项,如果,您将如何使用它?
感谢分享和任何提示!
答案 0 :(得分:1)
我理解您的问题是您只希望您的iOS应用程序成为利用Web服务(Tomcat通过REST / SOAP)的应用程序。你不希望有人写一些假装成你的应用程序的自定义程序。
最好的方法是确保您的iOS应用验证SSL连接域名和证书,以防止有人收听并抓取任何“这是实际的应用”标识符。
我用过的一些常用技术来鼓励只有iOS应用程序(而不是某些自定义程序)才能让它包含平台名称和版本以及自定义标识符字符串,如“MyApp ABC123F3”嵌入在程序代码中。另一个选项是一个数学例程,它发送一个只有服务器可以验证的旋转密钥号。另一种选择仍然是嵌入到应用程序中的客户端SSL证书,但可能更容易找到。
当然,如果有人拿到二进制文件并对它们进行逆向工程,他们总能获得秘密字符串/算法并模拟它。除了让它耗费时间和困难之外,你可以做很多事情来阻止它。