我正在尝试开发我的第一个PhoneGap应用程序,使用MVC.NET为应用程序提供JSON。我怀疑如何保护我的MVC.NET应用程序上的控制器,所以只有PhoneGap应用程序可以发布到我的服务器。
我是有一个设置控制器,用户可以更新他/她的设置,但我怎么能确保没有人篡改它?
我曾计划将deviceID用作用户ID,因此用户无需创建登录帐户,但这是否排除了使其安全的可能性,因为我不对用户进行身份验证? / p>
答案 0 :(得分:1)
您需要使用与任何其他网站相同的身份验证/授权/安全机制。这意味着授权信息不应以明文形式传递(使用SSL,加密的cookie)。您应该选择难以猜测或模拟的身份验证信息(用户ID /合理的密码;我猜测设备ID如果定期广播则可能不太安全)。您可以将此信息存储在手机上,但具有不同级别的安全性,即,如果有人获得对手机的物理访问权限,则他们可能会访问您存储的凭据。
您可能需要查看安全Wiki以获取更多详细信息:http://wiki.phonegap.com/w/page/43660891/Security