如何防止未经授权的HTTP请求？

Question

我在我的iOS应用程序像这样的代码：

URL *url = [NSURL URLWithString:@"http://urltomyapp.com/createaccount"]; 
ASIFormDataRequest *createAccountRequest = [ASIFormDataRequest requestWithURL:url]; 
[createAccountRequest setPostValue:email forKey:@"email"]; 
[createAccountRequest setPostValue:password forKey:@"password"]; 
[createAccountRequest startAsynchronous]; 

在我的服务器上执行，我简单地采取通过self.request.get（“电子邮件”）此信息，并创建一个帐户，没有做任何检查或任何东西。然而，似乎任何人都可以轻松地运行上面的代码（我的意思是你需要做的就是复制上面的代码并把它放到你自己的应用程序中，对吗？），所有他们需要知道的是服务器地址，他们可以将他们想要的任何数据附加到请求中，服务器将继续为它们创建一个帐户。

我该如何授权请求才能知道他们来自我的应用程序和我的应用程序？这是一个普遍的问题吗？其他产品如何防止这种情况发生？

Answer 1

首先，免责声明。我当然不是不是的网络专家，也不是我的安全专家。事实上，我根本就没有回答的唯一原因是Stackmonster的答复中的讨论。

但是，我知道拦截SSL连接非常容易，尤其是在用户是同谋的情况下。

一般来说，我认为以下是一些好处。

您必须确定您尝试保护的是谁/什么。如果你只是想保护应用程序和服务器之间的通信数据，https将会很好。外部监听与窥探其他SSL流量一样有效（或无效）。但是，如果你试图保护你的API（你的问题似乎暗示了这一点），那么用户看到你发送的命令是很简单的（就像你自己用Charles发现的那样），这是微不足道的。

那么，你想阻止任何人知道你的API的细节吗？你想只是防止DOS攻击，或者只让有效用户发出命令，或者什么？

然后，您可以担心身份验证和授权（两个不同的主题）。也许验证请求来自已知实体就足够了。

无论如何，指导是非常困难的，因为您首先必须决定您的网络隐私目标是什么。

然后，如果他们是崇高的，你在阅读很多。

但是，在某些时候，您必须决定什么对您的应用/业务至关重要，哪些不是。就像任何优秀的软件设计一样，然后创建一组要求。然后，按照某种顺序排列优先次序（例如，强制性的，基本的，好的，可以没有的）。

这会告诉你，如果你需要额外的安全性和什么样的。

然而，大多数人发现，即使锁上所有的门和挡住窗户，也不值得浪费时间和金钱（更不用说保护烟囱，在墙壁，地板和天花板上添加混凝土，房间，并雇用武装警卫）。

Answer 2

使用HTTPS并在应用程序中放置证书以验证客户端是否允许与服务器通信。

但是相信我，它真的不值得这一切。使用HTTPS通常可以自行使用。