我开始使用HTML5和Phonegap开发iOS应用程序。保护来自iOS应用程序的API调用
我在这里有一个关于安全性的问题。由于iOS应用程序无法运行PHP代码,因此人们使用REST API与服务器进行通信以从数据库等获取数据。或者我错了?
无论如何,这怎么可能是安全的?例如,有人可以从应用程序中提取代码,并可以访问API调用。这怎么可能安全?我不在寻找代码片段,我想知道用什么方法来保护它?到目前为止,我所有的东西都是用来防止CSRF攻击等的令牌。
提前致谢!
您可以使用休息服务,但并不意味着您正在提供服务的访问权限。您必须处理会话,但不包括明确的密码等,除非通过提示用户连接到后端,使用Oath验证会话并将其存储在钥匙串中。您可以强制用户在会话过期时重新插入信息,并且每次用户访问应用程序时都可以检查。 如果你反编译的应用程序或只是解压应用程序,可以访问的HTML代码,但不同之处是“你如何管理连接”。显然,正如我告诉过你的,如果你使用静态信息(使用.plist文件或其他),你的应用程序将会非常低效,容易中断。我的建议是学习如何在iOS中使用钥匙串,NSURLCredential,OAuth和Cookie管理。
非常好的解释!非常感谢。 –
我的荣幸,希望能对你有所帮助:) – AlfuryDB
我们可以给你更具体的指导,描述一个特定的API场景。不同的API将具有不同的缓解措施的不同安全攻击媒介。 –